Está en la página 1de 112

AUDITORIA INFORMTICA

ASIGNATURA: AUDITORIA INFORMATICA

CATEDRATICO: Ing. JUAN JOSE MARTINEZ GUTIERREZ

Pgina 1

AUDITORIA INFORMTICA
INDICE Presentacin.1 Incide2 Introduccin3 1.- Introduccin a la Auditoria 1.1 Conceptos de auditoria y auditoria Informtica3 1.2 Tipos de auditoria.7 1.2.1 Auditoria interna y externa.7 1.3 Campo de la auditoria informtica..8 1.4 Control interno10 1.5 Modelos de control utilizados en auditoria informtica11 1.6 Principios aplicados a los auditores informticos..16 1.7 Responsabilidades de los administradores y del auditor.19 2 Planeacin de la auditoria Informtica.

2.1 Fases de la auditoria23 2.1.1 Planeacin...25 2.1.2 Revisin preliminar...25 2.1.3 Revisin detallada. 26 2.1.4 Examen y evaluacin de la informacin26 2.1.5 Pruebas de controles de usuario.27 2.1.6 Pruebas sustantivas.27 2.2 Evaluacin de los sistemas de acuerdo al riesgo28 2.3 Investigacin preliminar.34 2.4 Personal participante. 36 3 Auditoria de la funcin informtica.

3.1 Recopilacin de la informacin organizacional..38 3.2 Evaluacin de los recursos humanos43 3.3 Entrevistas con el personal de informtica......47 3.4 Situacin presupuestal y financiera50 3.4.1 Presupuestos50
Pgina 2

AUDITORIA INFORMTICA
3.4.2 Recursos financieros y materiales..51 4 Evaluacin de la seguridad.

4.1 Generalidades de la seguridad del rea fsica52 4.2 Seguridad lgica y confidencial. ..54 4.3 Seguridad personal. ..55 4.4 Clasificacin de los controles de seguridad. 55 4.5 Seguridad en los datos y software de aplicacin...57 4.6 Controles para evaluar software de aplicacin..59 4.7 Controles para prevenir crmenes y fraudes informticos..62 4.8 Plan de contingencia, seguros, procedimientos de recuperacin de desastres...64 4.9 Tcnicas y herramientas relacionadas con la seguridad fsica y del personal. 68 4.10 Tcnicas y herramientas relacionadas con la seguridad de los datos y software de aplicacin. .69 5 Auditoria de la seguridad en la teleinformtica. 5.1 Generalidades de la seguridad en el rea de la teleinformtica70 5.2 Objetivos y criterios de la auditoria en el rea de la teleinformtica73 5.3 Sntomas de riesgo76 5.4 Tcnicas y herramientas de auditoria relacionadas con la seguridad en la teleinformtica..80 6 Informe de la auditoria informtica. 6.1 Generalidades de la seguridad del rea fsica82 6.2 Caractersticas del informe. 85 6.3 Estructura del informe90 6.4 Formato para el informe. 106 Conclusin..111 Bibliografa.112

Pgina 3

AUDITORIA INFORMTICA
INTRODUCCION
En un ambiente donde la informtica esta encabezando el trabajo en las diferentes oficinas e instituciones, el almacenamiento, ejecucin y procesamiento de los datos se esta haciendo va computadoras, por lo tanto en el trabajo de la auditoria tambin es algo indispensable. Aunque en el ambiente de la informtica la computadora es el medio principal para auditar pero no hay que olvidar que es a la persona junto a la informacin la cual estamos auditando y no la computadora en si, no se cambi el espirito de la auditora tradicional, solamente se cambi el mtodo. Para dar un mejor servicio a la comunidad, nuestro pas desde los aos 60 ya empez a utilizar las procesadoras para procesar informaciones En 1982, el Yuan Legislativo empez a promover el uso del sistema informativo, construyendo redes informativas entre la informtica industrial y su progreso, nominando al grupo de trabajo " Grupo de promocin de la informtica", en casi todos los lugares, empezando por instalacin de grupos de trabajos en el procesamiento de datos e informaciones en las provincias, ciudades y otras reas, enfocando principalmente en las reas financieras, medicas, sistema de seguro social, impuestos, oportunidades de trabajo y otras informaciones para facilitar el trabajo del pblico. El Ministerio de la Auditoria, llamado tambin La Oficina de la Auditoria (NAO), por el cambio del ambiente de trabajo tradicional a la nueva de la informtica, en estos aos de promover la Auditoria Informtica se han obtenido muy buenos resultados dentro de esta rea, se han hecho planes, tcticas de trabajo y lo ms importante procesar los resultados de las inspecciones de la auditoria para poder analizarlos despus.

Pgina 4

AUDITORIA INFORMTICA
UNIDAD 1 INTRODUCCIN A LA AUDITORIA INFORMTICA.

1.1

CONCEPTOS DE AUDITORIA Y AUDITORIA INFORMTICA.

CONCEPTO DE AUDITORIA: La auditora es el examen crtico y sistemtico que realiza una persona o grupo de personas independientes del sistema auditado. FUNCIN A DESARROLLAR DE UNA AUDITORIA

las operaciones de la empresa

CONCEPTO DE INFORMTICA es el campo que se encarga del estudio y aplicacin prctica de la tecnologa, mtodos, tcnicas y herramientas relacionados con las computadoras y el manejo de la informacin por medios electrnicos, el cual comprende las reas de la tecnologa de informacin orientadas al buen uso y aprovechamiento de los recursos computacionales para asegurar que la informacin de las organizaciones fluya (entidades internas y externas de los negocios) de manera oportuna y veraz

CONCEPTOS DE AUDITORIA INFORMTICA Proceso metodolgico ejecutado por especialistas del informtica. rea de auditora y de

Pgina 5

AUDITORIA INFORMTICA
Orientado a la verificacin y aseguramiento de que las polticas y procedimientos establecidos para el manejo y uso adecuado de la tecnologa de informacin, se lleven a cabo de manera oportuna y eficiente. Que operen en un ambiente se seguridad y control para generar confiabilidad, integridad, exactitud, etc. en los datos.. Debe generar un informe que indique las observaciones, recomendaciones y reas de oportunidad para el mejoramiento y optimizacin de las Tecnologas de Informacin.

Los objetivos de la auditora Informtica son: El control de la funcin informtica El anlisis de la eficiencia de los Sistemas Informticos La verificacin del cumplimiento de la Normativa en este mbito La revisin de la eficaz gestin de los recursos informticos. La auditora informtica sirve para mejorar ciertas caractersticas en la empresa como: - Eficiencia - Eficacia - Rentabilidad - Seguridad

Importancia de la auditoria en informtica: La tecnologa informtica (hardware, software, redes, bases de datos, etc.) es una herramienta estratgica que brinda rentabilidad y ventajas competitivas a los negocios frente a otros negocios similares en el mercado, pero puede originar costos y desventajas si no es bien administrada por el personal encargado.

La solucin clara es entonces realizar evaluaciones oportunas y completas de la funcin informtica, a cargo de personal calificado, consultores externos, auditores

Pgina 6

AUDITORIA INFORMTICA
en informtica o evaluaciones peridicas realizadas por el mismo personal de informtica

Tambin es un conjunto de tareas realizadas por un especialista para la evaluacin o revisin de polticas y procedimientos relacionados con las diferentes reas de una empresa Administrativas. Financieras. Operativas. Informtica. Crdito. Fiscales

1.2

TIPOS DE AUDITORIA.

1.2.1 AUDITORIA INTERNA Y EXTERNA.

LA AUDITORA INTERNA

Pgina 7

AUDITORIA INFORMTICA
Es la realizada con recursos materiales y personas que pertenecen a la empresa auditada. Los empleados que realizan esta tarea son remunerados

econmicamente. La auditora interna existe por expresa decisin de la Empresa, o sea, que puede optar por su disolucin en cualquier momento. Por otro lado,

LA AUDITORA EXTERNA

Es realizada por personas afines a la empresa auditada; es siempre remunerada. Se presupone una mayor objetividad que en la Auditora Interna, debido al mayor distanciamiento entre auditores y auditados.

El auditor tiene relacin con la empresa. La relacin con la empresa puede influir en la emisin del juicio sobre la Evaluacin de las reas de la empresa. Informe para uso interno. Permite detectar problemas y desviaciones. Puede actuar peridicamente como parte de su Plan Anual. Los auditados conocen estos planes y se habitan a las Auditoras. Las Recomendaciones habidas benefician su trabajo. El auditor no tiene relacin con la empresa Revisin independiente con total libertad de criterio sin ninguna influencia. Realizadas por despachos de auditores Generalmente solicitado por instituciones gubernamentales

1.3.- CAMPO DE LA AUDITORIA INFORMTICA Algunos campos de aplicacin de la informtica son las siguientes:

Pgina 8

AUDITORIA INFORMTICA
Investigacin cientfica y humanstica: Se usan las computadoras para la resolucin de clculos matemticos, recuentos numricos, etc. Algunas de estas operaciones:

Aplicaciones tcnicas: Usa la computadora para facilitar diseos de ingeniera y de productos comerciales, trazado de planos, etc. Algunas de estas operaciones:

Documentacin e informacin: Es uno de los campos ms importantes para la utilizacin de computadoras. Estas se usan para el almacenamiento de grandes cantidades de datos y la recuperacin controlada de los mismos en bases de datos. Ejemplos de este campo de aplicacin son:

ecas.

Gestin administrativa: Automatiza las funciones de gestin tpicas de una empresa. Existen programas que realizan las siguientes actividades:

Pgina 9

AUDITORIA INFORMTICA
Inteligencia artificial: Las computadoras se programan de forma que emulen el comportamiento de la mente humana. Los programas responden como previsiblemente lo hara una persona inteligente. Aplicaciones como:

ajedrez). Instrumentacin y control: Instrumentacin electrnica, electro

medicina, robots industriales, entre otros.

1.4.- CONTROL INTERNO.

Se puede definir el control interno como "cualquier actividad o accin realizada manual y/o automticamente para prevenir, corregir errores o irregularidades que puedan afectar al funcionamiento de un sistema para lograr o conseguir sus objetivos.

Los controles internos se clasifican en los siguientes:

Controles preventivos: Para tratar de evitar el hecho, como un software de seguridad que impida los accesos no autorizados al sistema.

Controles detectivos: Cuando fallan los preventivos para tratar de conocer cuanto antes el evento. Por ejemplo, el registro de intentos de acceso no autorizados, el registro de la actividad diaria para detectar errores u omisiones.etc.

Controles correctivos: Facilitan la suelta a la normalidad cuando se han producido incidencias. Por ejemplo, la recuperacin de un fichero daado a partir de las copias de seguridad.

Pgina 10

AUDITORIA INFORMTICA
Para la implantacin de un sistema de controles internos informticos habr que definir:

Gestin de sistema de informacin: polticas, pautas y normas tcnicas que sirvan de base para el diseo y la implantacin de los sistemas de informacin y de los controles correspondientes.

Administracin de sistemas: Controles sobre la actividad de los centros de datos y otras funciones de apoyo al sistema, incluyendo la administracin de las redes. Seguridad: incluye las tres clases de controles fundamentales implantados en el software del sistema, integridad del sistema, confidencialidad (control de acceso) y disponibilidad.

Gestin del cambio: separacin de las pruebas y la produccin a nivel del software y controles de procedimientos para la migracin de programas software aprobados y probados. 1.5.- MODELOS DE CONTROL

En la actualidad existen una gran cantidad de modelos de control interno.

Los modelos de control interno COSO y COBIT son los dos modelos ms difundidos en la actualidad.

COSO est enfocado a toda la organizacin, contempla polticas, procedimientos y estructuras organizativas adems de procesos para definir el modelo de control interno.

Mientras que COBIT (Control Objectives for Information and Related Technology, Objetivos de Control para Tecnologa de Informacin y Tecnologas relacionadas)
Pgina 11

AUDITORIA INFORMTICA
se centra en el entorno IT, contempla de forma especfica la seguridad de la informacin como uno de sus objetivos, cosa que COSO no hace. Adems el modelo de control interno que presenta COBIT es ms completo, dentro de su mbito.

Existen otros tipos de modelos los cuales se mencionan a continuacin: OECD (Organization for Economic Cooperation and Development) GAPP (Generaly Accepted Principles and Practices). National Institute of Standards and Technology (NIST)

BS 7799 (British Standard Institute) SAC (Security Auditability and Control). The Inst. of Internal Audit. COSO (Internal Control Integrated Framework. Committee of Sponsoring Organizations) SSE CMM (Systems Security Engineering Capability Maturity Model) National Security Agency (NSA) Defense- Canada. CoCo (Criteria of Control Board of The Canadian Instituteof Chartered Accountants.) ITCG (Information Technology Control Guidelines). Canadian Institute of Chartered Accountants(CICA) GASSP (Generaly Accepted System Security Principles). International Information Security Foundation (IISF)

Cobit (Control Objectives for Information and Related Technologies) FISCAM (Federal Information Systems Controls Audit Manual). GAO SysTrust (AICPA/CICA SysTrust Principles and Criteria for System Reliability) SSAG (System Self-Assessment Guide for Information Technology Systems). NIST
Pgina 12

AUDITORIA INFORMTICA
COBIT DEFINICIN Es un marco de control interno de TI. Parte de la premisa de que la TI requiere proporcionar informacin para lograr los objetivos de la organizacin. Promueve el enfoque y la propiedad de los procesos. Apoya a la organizacin al proveer un marco que asegura que: La Tecnologa de Informacin (TI) est alineada con la misin y visin. LA TI capacite y maximice los beneficios. Los recursos de TI sean usados responsablemente. Los riesgos de TI sean manejados apropiadamente. COBIT PRINCIPIOS

COBIT ESTRUCTURA

Pgina 13

AUDITORIA INFORMTICA

COBIT REQUERIMIENTOS DE LA INFORMACIN DEL NEGOCIO

COBIT combina los principios contenidos por modelos existentes y conocidos, como COSO, SAC Y SAS.

Pgina 14

AUDITORIA INFORMTICA

COBIT REQUERIMIENTOS DE LA INFORMACIN DEL NEGOCIO Efectividad: Informacin relevante y pertinente, proporcionada en forma oportuna, correcta, consistente y utilizable

no autorizada

con las expectativas de la organizacin. ilidad: accesibilidad a la informacin y la salvaguarda de los recursos y sus capacidades.

cumplimiento normativo COBIT PROCESOS DE TI TRES NIVELES

Pgina 15

AUDITORIA INFORMTICA

1.6.- PRINCIPIOS APLICADOS A AUDITORES INFOMTICOS

PRINCIPIO DE BENEFICIO DE AUDITADO En este principio el auditor debe conseguir la mxima eficacia y rentabilidad de los medios informticos de la empresa auditada, no debe de ningn modo obtener beneficio propio.

PRINCIPIO DE CALIDAD En el auditor deber prestar sus servicios conforme las posibilidades de la ciencia y medios a su alcance con absoluta libertad respecto a la utilizacin de dichos medios y en unas condiciones tcnicas adecuadas para el idneo cumplimiento de su labor.

PRINCIPIO DE CONFIANZA El auditor deber facilitar e incrementar la confianza del auditor en base a una actuacin de transparencia en su actividad profesional sin alardes cientficos-tcnicos.
Pgina 16

AUDITORIA INFORMTICA

PRINCIPIO DE CAPACIDAD El auditor debe estar plenamente capacitado para la realizacin de la auditora encomendada, maximice teniendo en cuenta que, a los auditados en algunos casos les puede ser extremadamente difcil verificar sus recomendaciones y evaluar correctamente la precisin de las mismas.

PRINCIPIO DE COMPORTAMIENTO PROFESIONAL El auditor, tanto en sus relaciones con el auditado como con terceras personas, deber, en todo momento, actuar conforma a las normas, implcitas o explcitas, de dignidad de la profesin y de correccin en el trato personal.

PRINCIPIO DE CRITERIO PROPIO El auditor durante la ejecucin deber actuar con criterio propio y no permitir que est subordinado al de otros profesionales, aun de reconocido prestigio, que no coincidan con el mismo.

PRINCIPIO DE CONCENTRACION EN EL TRABAJO El auditor deber evitar que un exceso de trabajo supere sus posibilidades de concentracin y precisin en cada una de las tareas a l encomendadas, y a que la estructuracin y dispersin de trabajos suele a menudo, si no est debidamente controlada, provocar la conclusin de los mismos sin las

debidas garantas de seguridad.

PRINCIPIO DE DISCRECIN

Pgina 17

AUDITORIA INFORMTICA
El auditor deber en todo momento mantener una cierta discrecin en la divulgacin de datos, aparentemente inocuos, que se le hayan puesto de manifiesto durante la ejecucin de la auditoria. PRINCIPIO DE ECONOMA El auditor deber proteger, en la medida de sus conocimientos, los derechos econmicos del auditado evitando generar gastos innecesarios en el ejercicio de su actividad.

PRINCIPIO DE FORMACIN CONTINUADA

Este principio impone a los auditores el deber y la responsabilidad de mantener una permanente actualizacin de sus conocimientos y mtodos a fin de adecuarlos a las necesidades de la demanda y a las exigencias de la competencia de la oferta. PRINCIPIO DE FORTALECIMIENTO Y RESPETO DE LA PROFESIN

La defensa de los auditados pasa por el fortalecimiento de la profesin de los auditores informticos, lo que exige un respeto por el ejercicio, globalmente considerado, de la actividad desarrollada por los mismos y un comportamiento acorde con los requisitos exigibles para el idneo cumplimiento de la finalidad de las auditorias.

PRINCIPIO DE INDEPENDENCIA

Esta relacionado con el principio de criterio propio, obliga al auditor, tanto si acta como profesional externo o con dependencia laboral respecto a la empresa en la que deba realizar la auditoria informtica, a exigir una total autonoma e independencia en su trabajo.

Pgina 18

AUDITORIA INFORMTICA
PRINCIPIO DE INFORMACIN SUFICIENTE

Este principio obliga al auditor a aportar, en forma pormenorizada, clara, precisa e inteligible para el auditado, informacin de los puntos y conclusiones relacionados con la auditoria.

PRINCIPIO DE INTEGRIDAD MORAL

Este principio, inherentemente ligado a la dignidad de la persona, obliga al auditor a ser honesto, leal y diligente en el desempeo de su misin, a ajustarse a las normas morales de justicia y prioridad.

PRINCIPIO DE LEGALIDAD

La primaca de esta obligacin exige del auditor un comportamiento activo de oposicin a todo intento, por parte del auditado o de terceras personas, tendente a infringir cualquier precepto integrado en el derecho positivo.

PRINCIPIO DE LIBRE COMPETENCIA

La actual economa de mercado exige que el ejercicio de la profesin se realice en el marco de la libre competencia siendo rechazables, por tanto, las prcticas colusorias tendentes a impedir o limitar la legtima competencia de otros profesionales.

PRINCIPIO DE NO DISCRIMINACIN

El auditor en su actuacin previa, durante y posterior a la auditoria deber evitar cualquier tipo de condicionantes personalizados y actuar en todos

los casos con similar diligencia.


Pgina 19

AUDITORIA INFORMTICA

PRINCIPIO DE NO INJERENCIA

El auditor, deber evitar injerencias en los trabajos de otros profesionales, respetar su labor y eludir hacer comentarios que pudieran interpretarse como

despreciativos de la misma, deber igualmente evitar aprovechar los datos.

PRINCIPIO DE PRECISIN

Este principio exige del auditor la no conclusin de su trabajo hasta estar convencido, en la medida de lo posible, de la viabilidad de sus propuestas.

PRINCIPIO DE PUBLICIDAD ADECUADA

La oferta y promocin de los servicios de auditoria debern en todo momento ajustarse a las caractersticas, condiciones y finalidad perseguidas.

PRINCIPIO DE RESPONSABILIDAD

El auditor deber, como elemento intrnseco de todo comportamiento profesional, responsabilizarse de lo que haga, diga o aconseje.

PRINCIPIO DE SECRETO PROFESIONAL

La confidencia y confianza entre el auditor y el auditado e imponen al primero la obligacin de guardar en secreto los hechos e informaciones que conozca en el ejercicio de su actividad profesional.

PRINCIPIO DE SERVICIO PBLICO

Pgina 20

AUDITORIA INFORMTICA
La aplicacin de este principio debe incitar al auditor a hacer lo que este en su mano y sin perjuicio de los intereses de su cliente, para evitar daos sociales.

PRINCIPIO DE VERACIDAD El Auditor en sus comunicaciones con el auditado deber tener siempre presente la obligacin de asegurar la veracidad de sus manifestaciones con los limites impuestos por los deberes de respeto, correccin, y secreto profesional.

1.7.- RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR

El auditor informtico debe ser una persona con un alto grado de calificacin tcnica y al mismo tiempo estar integrado a las corrientes organizativas empresariales. Es responsable de realizar las siguientes actividades: Verificacin del control interno tanto de las aplicaciones como de los SI, perifricos, etc. Anlisis de la administracin de Sistemas de Informacin, desde un punto de vista de riesgo de seguridad, administracin y efectividad de la administracin. Anlisis de la integridad, fiabilidad y certeza de la anlisis de aplicaciones. Auditora del riesgo operativo de los circuitos de informacin Anlisis de la administracin de los riesgos de la informacin y de la seguridad implcita. Verificacin del nivel de continuidad de las operaciones. Anlisis del Estado del Arte tecnolgico de la instalacin revisada y las consecuencias empresariales que un desfase tecnolgico puede acarrear. informacin a travs del

Pgina 21

AUDITORIA INFORMTICA
RESPONSABILIDADES DE LOS ADMINISTRADORES Y EL AUDITOR

Organizacin de la funcin de Auditora Informtica La funcin de la auditora informtica se hconvertido en una funcin que desarrolla un trabajo ms acorde con la importancia que para las organizaciones tienen los SI, que son su objeto de estudio y anlisis. El auditor informtico pasa a ser auditor y consultor de empresas en materias de: Seguridad Control interno operativo Eficiencia y eficacia Tecnologas de Informacin Continuidad de operaciones Administracin de riesgos

Su localizacin puede estar ligada a la auditora interna operativa y financiera (aunque exista una coordinacin lgica entre ambos departamentos), con independencia de objetivos, planes de formacin y presupuestos.

SI y dems tecnologa, que depende de la misma persona que la auditora interna (Director General o Consejero).

la organizacin, nunca del departamento de sistemas o del financiero. Esto es para que no se pueda sospechar que exista sesgo al momento de realizar el trabajo de auditora y ofrecer conclusiones y recomendaciones.

Pgina 22

AUDITORIA INFORMTICA
Los recursos humanos con los que debe contar el departamento debe ser una mezcla equilibrada de personas con formacin en auditora y organizacin y con perfil informtico (especialidades).

UNIDAD 2.- PLANEACIN DE LA AUDITORA INFORMTICA 2.1 FASES DE LA AUDITORIA.

LAS NORMAS DE LA AUDITORA INTERNA COMPRENDEN Las actividades auditadas y la objetividad de los auditores internos. El alcance del trabajo de auditora interna en el rea de informtica. El departamento de auditora interna deber asignara cada auditora a aquellas personas que en su conjunto posean los conocimientos, la experiencia y la disciplina necesarios para conducir apropiadamente la auditora.

Pgina 23

AUDITORIA INFORMTICA
El departamento de auditora interna deber asegurarse: Que las auditoras sean supervisadas en forma apropiada. La supervisin es un proceso continuo que comienza con la planeacin y termina con el trabajo de auditora. Que los informes de auditora sean precisos, objetivos, claros, concisos, constructivos y oportunos. Que se cumplan los objetivos de la auditora. Que la auditora sea debidamente documentada y que se conserve la evidencia apropiada de la supervisin. Que los auditores cumplan con las normas profesionales de conducta. Que los auditores en informtica posean los conocimientos, experiencias y disciplinas esenciales para realizar sus auditoras. Para una adecuada planeacin Para hacer una adecuada planeacin de la auditora en informtica hay que seguir una serie de pasos previos que permitirn dimensionar el tamao y caractersticas del rea dentro del organismo a auditar, sus sistemas, organizacin y equipo. Con ello podremos determinar el nmero y caractersticas del personal de auditora, las herramientas necesarias, el tiempo y costo, as como definir los alcances de la auditora para, en caso necesario, poder elaborar el contrato de servicios.

Pgina 24

AUDITORIA INFORMTICA
2.1.1. PLANEACIN El trabajo de auditora deber incluir: La planeacin de la auditora El examen y la evaluacin de la informacin La comunicacin de los resultados y el seguimiento 1. Planeacin (Cont.) La planeacin deber ser documentada e incluir:

2.1.2. REVISIN PRELIMINAR El objetivo de la revisin preliminar es el de obtener la informacin necesaria para que el auditor pueda tomar la decisin de cmo proceder en la auditora. Al terminar la revisin preliminar el auditor puede proceder en uno de los tres caminos siguientes: Diseo de la auditora. Puede haber problemas debido a la falta de competencia tcnica para realizar la auditora. Realizar una revisin detallada de los controles internos de los sistemas con la esperanza de que se deposite la confianza en los controles de los sistemas y de que una serie de pruebas sustantivas puedan reducir las consecuencias. Decidir el no confiar en los controles internos del sistema. Existen dos razones posibles para esta decisin. Primero, puede ser ms eficiente desde el punto de
Pgina 25

AUDITORIA INFORMTICA
vista de costo-beneficio el realizar pruebas sustantivas directamente. Segundo, los controles del rea de informtica pueden duplicar los controles existentes en el rea del usuario. 2.1.3. REVISIN DETALLADA Los objetivos de la fase detallada son los de obtener la informacin necesaria para que el auditor tenga un profundo entendimiento de los controles usados dentro del rea de informtica. En la fase de evaluacin detallada es importante para el auditor identificar las causas de las prdidas existentes dentro de la instalacin y los controles para reducir las prdidas y los efectos causados por stas. Al terminar la revisin detallada el auditor debe evaluar en qu momento los controles establecidos reduce las prdidas esperadas a un nivel aceptable. Los mtodos de obtencin de informacin al momento de la evaluacin detallada son los mismos usados en la investigacin preliminar, y lo nico que difiere es la profundidad con se obtiene la informacin y se evala.

2.1.4. EXAMEN Y EVALUACIN DE LA INFORMACIN. Los auditores internos debern obtener, analizar, interpretar y documentar la informacin para apoyar los resultados de la auditora. El proceso de examen y evaluacin de la informacin es el siguiente: Se debe obtener la informacin de todos los asuntos relacionados con los objetivos y alcances del auditor. La informacin relevante apoya los hallazgos y recomendaciones de auditora y es consistente con los objetivos de sta. La
Pgina 26

AUDITORIA INFORMTICA
informacin til ayuda a la organizacin a lograr sus metas. El proceso de recabar, analizar, interpretar y documentar la informacin deber supervisarse para proporcionar una seguridad razonable de que la objetividad del auditor se mantuvo y que las metas de auditora se cumplieron. Los documentos de trabajo de la auditora debern ser preparados por los auditores y revisados por la gerencia de auditora. Estos documentos debern registrar la informacin obtenida y el anlisis realizado, y deben apoyar las bases de los hallazgos de auditora y las recomendaciones que se harn. Los auditores debern reportar los resultados del trabajo de auditora: El auditor deber discutir las conclusiones y recomendaciones en los niveles apropiados de la administracin antes de emitir su informe final. Los informes debern ser objetivos, claros, concisos, constructivos y oportunos. Los informes presentarn el propsito, alcance y resultados de la auditora y, cuando se considere apropiado, contendrn la opinin del auditor. 2.1.5. PRUEBAS DE CONTROLES DE USUARIO. En algunos casos el auditor puede decidir el no confiaren los controles internos dentro de las instalaciones informticas, porque el usuario ejerce controles que compensan cualquier debilidad dentro de los controles de informtica. Estas pruebas que compensan las deficiencias de los controles internos se pueden realizar mediante cuestionarios, entrevistas, visitas y evaluaciones hechas directamente con los usuarios. 2.1.6 PRUEBAS SUSTANTIVAS El objetivo de la fase de pruebas sustantivas es obtener evidencia suficiente que permita al auditor emitir su juicio en las conclusiones acerca de cundo pueden ocurrir prdidas materiales durante el procesamiento de la informacin. El auditor externo expresar este juicio en forma de opinin sobre cundo puede
Pgina 27

AUDITORIA INFORMTICA
existir un proceso equivocado o falta de control de la informacin. Se pueden identificar ocho diferentes pruebas sustantivas: Pruebas para identificar errores en el procesamiento o de falta de seguridad o confidencialidad. Pruebas para asegurar la calidad de los datos. Pruebas para identificar la inconsistencia de los datos. Pruebas para comparar con los datos o contadores fsicos. Confirmacin de datos con fuentes externas. Pruebas para confirmar la adecuada comunicacin. Pruebas para determinar falta de seguridad. Pruebas para determinar problemas de legalidad 2.2 EVALUACION DE LOS SISTEMAS DE ACUERDO AL RIESGO Son aquellos objetos, dispositivos, medidas, etc. que contribuyen a hacer mas seguro el funcionamiento o el uso.

CONSIDERACIONES INMEDIATAS PARA LA AUDITORA DE LA SEGURIDAD

Uso de la Computadora

Se debe observar el uso adecuado de la computadora y su software que puede ser susceptible a: copia de programas de la organizacin para fines de comercializacin (copia pirata). acceso directo o telefnico a bases de datos con fines fraudulentos
Pgina 28

AUDITORIA INFORMTICA

Sistema de Acceso

Para evitar los fraudes computarizados se debe contemplar de forma clara los accesos a las computadoras de acuerdo a: nivel de seguridad de acceso empleo de las claves de acceso evaluar la seguridad contemplando la relacin costo, ya que a mayor tecnologa de acceso mayor costo.

CANTIDAD Y TIPO DE INFORMACIN

El tipo y la cantidad de informacin que se introduce en las computadoras debe considerarse como un factor de alto riesgo ya que podran producir que:
Pgina 29

AUDITORIA INFORMTICA
la informacin este en manos de algunas personas la alta dependencia en caso de perdida de datos

PERSONAL

Se debe observar este punto con mucho cuidado, ya que hablamos de las personas que estn ligadas al sistema de informacin de forma directa y se deber contemplar principalmente:

*contemplar la cantidad de personas con acceso operativo y administrativo *conocer la capacitacin del personal en situaciones de emergencia

MEDIOS DE CONTROL

Se debe contemplar la existencia de medios de control para conocer cuando se produce un cambio o un fraude en el sistema. Tambin se debe observar con detalle el sistema ya que podra generar indicadores que pueden actuar como

Pgina 30

AUDITORIA INFORMTICA
elementos de auditora inmediata, aunque esta no sea una especificacin del sistema.

RASGOS DEL PERSONAL

Se debe ver muy cuidadosamente el carcter del personal relacionado con el sistema, ya que pueden surgir: malos manejos de administracin malos manejos por negligencia malos manejos por ataques deliberados

INSTALACIONES

Es muy importante no olvidar las instalaciones fsicas y de servicios, que significan un alto grado de riesgo. Para lo cual se debe verificar: la continuidad del flujo elctrico efectos del flujo elctrico sobre el software y hardware evaluar las conexiones con los sistemas elctrico, telefnico, cable, etc. verificar si existen un diseo, especificacin tcnica, manual o algn tipo de documentacin sobre las instalaciones

ESTABLECER LAS REAS Y GRADOS DE RIESGO

Es muy importante el crear una conciencia en los usuarios de la organizacin sobre el riesgo que corre la informacin y hacerles comprender que la seguridad es parte de su trabajo.

Pgina 31

AUDITORIA INFORMTICA

SISTEMA INTEGRAL DE SEGURIDAD

Un sistema integral debe contemplar: Definir elementos administrativos Definir polticas de seguridad A nivel departamental A nivel institucional Organizar y dividir las responsabilidades Contemplar la seguridad fsica contra catstrofes (incendios, terremotos, inundaciones, etc.)

Definir prcticas de seguridad para el personal: Plan de emergencia (plan de evacuacin, uso de recursos de emergencia como extinguidores. Nmeros telefnicos de emergencia Definir el tipo de plizas de seguros Definir elementos tcnicos de procedimientos

Definir las necesidades de sistemas de seguridad para: Hardware y software Flujo de energa Cableados locales y externos Aplicacin de los sistemas de seguridad incluyendo datos y archivos Planificacin de los papeles de los auditores internos y externos Planificacin de programas de desastre y sus pruebas (simulacin) Planificacin de equipos de contingencia con carcter peridico
Pgina 32

AUDITORIA INFORMTICA
Control de desechos de los nodos importantes del sistema: Poltica de destruccin de basura copias, fotocopias, etc. Consideracin de las normas ISO 14000 Etapas para Implementar un Sistema de Seguridad

PLAN DE SEGURIDAD IDEAL (O NORMATIVO)

Un plan de seguridad para un sistema de seguridad integral debe contemplar: El plan de seguridad debe asegurar la integridad y exactitud de los datos Debe permitir identificar la informacin que es confidencial Debe contemplar reas de uso exclusivo Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles Debe asegurar la capacidad de la organizacin para sobrevivir accidentes Debe proteger a los empleados contra tentaciones o sospechas innecesarias Debe contemplar la administracin contra acusaciones por imprudencia

BENEFICIOS DE UN SISTEMA DE SEGURIDAD

Los beneficios de un sistema de seguridad bien elaborado son inmediatos, ya que el la organizacin trabajar sobre una plataforma confiable, que se refleja en los siguientes puntos: Aumento de la productividad. Aumento de la motivacin del personal. Compromiso con la misin de la compaa. Mejora de las relaciones laborales. Ayuda a formar equipos competentes. Mejora de los climas laborales para los RR.HH.
Pgina 33

AUDITORIA INFORMTICA
2.3 INVESTIGACION PRELIMINAR
Se deber observar el estado general del rea, su situacin dentro de la organizacin, si existe la informacin solicitada, si es o no necesaria y la fecha de su ltima actualizacin. Se debe hacer la investigacin preliminar solicitando y revisando la informacin de cada una de las reas basndose en los siguientes puntos:

* *

Administracin Sistemas

ADMINISTRACIN Se recopila la informacin para obtener una visin general del departamento por medio de observaciones, entrevistas preliminares y solicitud de documentos para poder definir el objetivo y alcances del departamento.

Para analizar y dimensionar la estructura por auditar se debe solicitar a nivel del rea de informtica Objetivos a corto y largo plazo. Recursos materiales y tcnicos Solicitar documentos sobre los equipos, nmero de ellos, localizacin y caractersticas. Nmero de equipos, localizacin y las caractersticas (de los equipos instalados y por instalar y programados)
Pgina 34

AUDITORIA INFORMTICA
Fechas de instalacin de los equipos y planes de instalacin. Contratos vigentes de compra, renta y servicio de mantenimiento. Contratos de seguros. Convenios que se tienen con otras instalaciones. Configuracin de los equipos y capacidades actuales y mximas. Planes de expansin. Ubicacin general de los equipos. Polticas de operacin. Polticas de uso de los equipos.

SISTEMAS Descripcin general de los sistemas instalados y de los que estn por instalarse que contengan volmenes de informacin.

* * * * * * * *

Manual de formas. Manual de procedimientos de los sistemas. Descripcin genrica. Diagramas de entrada, archivos, salida. Salidas. Fecha de instalacin de los sistemas. Proyecto de instalacin de nuevos sistemas. En el momento de hacer la planeacin de la auditora o bien su realizacin, debemos evaluar que pueden presentarse las siguientes situaciones.

Se solicita la informacin y se ve que:

* * * *

No tiene y se necesita No se tiene y no se necesita. Se tiene la informacin pero: No se usa.


Pgina 35

AUDITORIA INFORMTICA
* * * Es incompleta. No esta actualizada. No es la adecuada.

Se usa, est actualizada, es la adecuada y est completa.

El xito del anlisis crtico depende de las consideraciones siguientes:

Estudiar hechos y no opiniones (no se toman en cuenta los rumores ni la informacin sin fundamento) Investigar las causas, no los efectos. Atender razones, no excusas. No confiar en la memoria, preguntar constantemente. Criticar objetivamente y a fondo todos los informes y los datos recabados.

2.4.-PERSONAL PARTICIPANTE Una de las partes ms importantes en la planeacin de la auditoria en informtica es el personal que deber participar, ya que se debe contar con un equipo seleccionado y con ciertas caractersticas que puedan ayudar a llevar la auditoria de manera correcta y en el tiempo estimado. Aqu no se vera el nmero de persona que debern participar, ya que esto depende de las dimensiones de la organizacin, de los sistemas y de los equipos, lo que se deber considerar son exactamente las caractersticas que debe cumplir cada uno del personal que habr de participar en la auditoria. Uno de los esquemas generalmente aceptados para tener un adecuado control es que el personal que intervenga este debidamente capacitado, que tenga un alto sentido de moralidad, al cual se le exija la optimizacin de recursos (eficiencia) y se le retribuya o compense justamente por su trabajo.
Pgina 36

AUDITORIA INFORMTICA
Con estas bases debemos considerar los conocimientos, la prctica profesional y la capacitacin que debe tener el personal que intervendr en la auditoria. Primeramente, debemos pensar que hay personal asignado por la organizacin, que debe tener el suficiente nivel para poder coordinar el desarrollo de la auditoria, proporcionarnos toda la informacin que se solicite y programar las reuniones y entrevistas requeridas. Este es un punto muy importante ya que, de no tener el apoyo de la alta direccin, ni contar con un grupo multidisciplinario en el cual estn presentes una o varias personas del rea a auditar, ser casi imposible obtener informacin en el momento y con las caractersticas deseadas. Tambin se deben contar con personas asignadas por los usuarios para que en el momento que se solicite informacin, o bien se efecte alguna entrevista de comprobacin de hiptesis, nos proporcionen aquello que se esta solicitando, y complementen el grupo multidisciplinario, ya que debemos analizar no slo el punto de vista de la direccin de informtica, sino tambin el del usuario del sistema. Para complementar el grupo, como colaboradores directos en la realizacin de la auditoria, se deben tener personas con las siguientes caractersticas: Tcnico en informtica. Conocimientos de Admn., contadura y finanzas. Experiencia en el rea de informtica. Experiencia en operacin y anlisis de sistemas. Conocimientos de los y experiencias operativos, rea y en psicologa de industrial. redes y

Conocimientos comunicaciones,

sistemas del

bases

datos, a

dependiendo

caractersticas

auditar.

Conocimientos de los sistemas ms importantes.

Pgina 37

AUDITORIA INFORMTICA
En el caso de sistemas complejos se deber contar con personal con conocimientos y experiencias en reas especficas como base de datos, redes y comunicaciones, etctera. Lo anterior no significa que una sola persona deba tener los conocimientos y experiencias sealadas, pero si que deben intervenir una o varias personas con las caractersticas apuntadas. Una vez planeada la forma de llevar a cabo la auditoria, estaremos en posibilidad de presenta la carta (convenio de servicios profesionales en el caso de auditores externos -) y el plan de trabajo. La carta convenio es un compromiso que el auditor dirige a su cliente para su confirmacin de aceptacin. En ella se especifican el objetivo y el alcance de la auditoria, las limitaciones y la colaboracin necesaria, el grado de responsabilidad y los informes que se han de entregar.

UNIDAD 3.- AUDITORIA DE LA FUNCIN INFORMTICA


3.1 RECOPILACIN DE LA INFORMACIN ORGANIZACIONAL Una vez elaborada la planeacin de la auditora, la cual servir como plan maestro de los tiempos, costos y prioridades, y como medio de control de la auditora, se debe empezar la recoleccin de la informacin.

Pgina 38

AUDITORIA INFORMTICA
Se proceder a efectuar la revisin sistematizada del rea a travs de la observacin y entrevistas de fondo en cuanto a: A) Estructura Orgnica B) Se deber revisar la situacin de los recursos humanos. C) Entrevistas con el personal de procesos electrnicos. D) Se deber conocer la situacin presupuestal y financiera. E) Se har un levantamiento del censo de recursos humanos y anlisis de situacin. F) Por ltimo, se deber revisar el grado de cumplimiento de los documentos administrativos. A) Estructura Orgnica Jerarquas (Definicin de la autoridad lineal, funcional y de asesora) Estructura orgnica Funciones Objetivos

Pgina 39

AUDITORIA INFORMTICA
B) Se deber revisar la situacin de los recursos humanos.

C) Entrevistas con el personal de procesos electrnicos: a) Jefatura b) Anlisis c) Programadores d) Operadores e) Capturistas f) Personal administrativo D) Se deber conocer la situacin presupuestal y financiera en cuanto a: - Presupuesto - Recursos financieros - Recursos materiales - Mobiliario y equipo

Pgina 40

AUDITORIA INFORMTICA
E) Se har un levantamiento del censo de recursos humanos y anlisis de situacin en cuanto a: Nmero de personas y distribucin por reas Denominacin de puestos Salario Capacitacin Conocimientos Escolaridad Experiencia profesional Antigedad Historial de trabajo Salario y conformacin Movimientos salariales ndice de rotacin del personal Programa de capacitacin (vigente y capacitacin dada en el ltimo ao)

F) Por ltimo, se deber revisar el grado de cumplimiento de los documentos administrativos. Normas y polticas Planes de trabajo Controles Estndares Procedimientos La informacin nos servir para determinar: Si las responsabilidades en la organizacin estn definidas adecuadamente Si la estructura organizacional est adecuada a las necesidades Si el control organizacional es el adecuado
Pgina 41

AUDITORIA INFORMTICA
Si se tienen los objetivos y polticas adecuadas, se encuentran vigentes y estn bien definidas

Si existe la documentacin de las actividades, funciones y responsabilidades Si los puestos se encuentran definidos y sealadas sus responsabilidades Si el anlisis y descripcin de puestos est de acuerdo con el personal que los ocupa Si se cumplen los lineamientos organizacionales Si el nivel de salarios comparado con el mercado de trabajo Si los planes de trabajo concuerdan con los objetivos de la empresa Si se cuenta con los recursos humanos necesarios que garanticen la continuidad de la operacin o se cuenta con "indispensables Si se evalan los planes y se determinan las desviaciones Se utilizan varios patrones, esto pueden ser:

1) Patrones de cantidad: son los que se expresan en nmeros o en cantidades, como nmero de empleados, porcentaje de rotacin de empleados, numero de admisiones, ndice de accidentes, etc.

2) Patrones de calidad: son los que se relacionan con aspectos no cuantificables, como mtodos de seleccin de empleados, resultados de entrenamiento, funcionamiento de la evaluacin del desempeo. Etc.,

3) Patones de tiempo: consisten en la rapidez con que se integra e personal recin admitido, la permanencia promedio del empleado en la empresa, el tiempo de procesamiento de las requisiciones de personal, etc.

4) Patones de costo: son los costos, directos e indirectos, de la rotacin de personal


Pgina 42

AUDITORIA INFORMTICA

3.2.- EVALUACIN DE RECURSOS HUMANOS

La evaluacin esta presente en todo momento de la ejecutoria de un empleado dentro de una organizacin. Desde la entrevista inicial, la valoracin del desempeo, hasta la carta de recomendacin cuando se desea mover a otro empleo, las personas estn siendo evaluadas.

Las organizaciones suelen realizar una valoracin del rendimiento con fines administrativos y de desarrollo. Segn Gmez-Meja, Balkin & Cardy la valoracin del rendimiento se utiliza administrativamente como punto de partida para tomar decisiones sobre las condiciones laborales de un empleado, considerando las promociones, los despidos y las recompensas.

La evaluacin del desempeo o valoracin del rendimiento, implica identificar, medir, y gestionar el rendimiento de las personas dentro de una organizacin. Ante este particular la evaluacin se convierte en un proceso de mejora continua debido a que permite proyectar acciones futuras para un mayor desarrollo del individuo y de la organizacin.

Para poder identificar los puntos que van a ser evaluados dentro de una organizacin, es necesario conocer cul es la situacin general de la empresa, definir la poltica, establecer objetivos y obtener informacin sobre las evaluaciones previas y sus resultados.

Por otro lado para obtener un diagnstico de las situaciones de las empresas con relacin a su desempeo, se pueden hacer entrevistas, cuestionarios, informes, documentacin escrita y programas de accin.

Pgina 43

AUDITORIA INFORMTICA

La evaluacin se hace por una razn. La enciclopedia mediana y pequea empresa enfatiza una serie de objetivos sobre la evaluacin, como:

1. Mejorar el desarrollo y comunicacin de los trabajadores. 2. Desarrollar y mejorar el conjunto de los sistemas de la organizacin. 3. Logra un mayor ajuste persona/puesto y en el conocimiento profesional del propio evaluado.

Los criterios de evaluacin son de importancia consideracin para ser aplicados en las diversas organizaciones:

Gmez-Meja, Balkin & Cardy sugieren que se pueden establecer segn dos modelos:

1. En funcin de los objetivos: Consiste en la identificacin por parte del jefe y empleado de las reas de responsabilidad y los indicadores para medir resultados.

2. En funcin de los factores de valor: Se trata de evaluar el desempeo segn el perfil socio profesional (habilidades, capacidades, actitudes, organizacin, resolucin de problemas, toma de decisiones, etc.) de cada puesto de trabajo.

Gmez-Meja, Balkyn y Cardy sugieren varios mtodos para evaluar, como:

1. Clasificacin: Se trata de elaborar una lista de los evaluados en orden de sucesin segn su mbito profesional. 2. Comparacin: Una vez agrupados los empleados segn puestos de trabajo o reas, se efecta un anlisis comparativo entre los individuos del mismo grupo. 3. Curva de rendimiento: Se ubica a los empleados segn su rendimiento en la parte correspondiente de una curva.
Pgina 44

AUDITORIA INFORMTICA

4. Listados de caractersticas: Se confecciona una lista con las caractersticas y los objetivos de cada puesto de trabajo y grado de ejecucin de los empleados. 5. Evaluacin abierta: Consiste dejar abierto el campo de los aspectos que se deben evaluar. 6. Evaluacin del personal jerrquico: Puede hacerse de manera directa, a travs de un protocolo de preguntas que los empleados contestarn. 7. Autovaloracin: Puede ser estructurada o abierta. En el primer caso se pasar un protocolo que el empleado deber cumplimentar, mientras que en el segundo caso ste tendr que exponer cules son a su parecer sus logros y cules son sus puntos dbiles. 8. Evaluacin entre reas: Cada miembro de los sectores dentro de una organizacin evaluar a los empleados del otro departamento.

Obstculos para medir eficazmente el rendimiento:

1. Los errores y el sesgo de la persona que realiza la evaluacin. 2. La influencia de los gustos. 3. La poltica de la organizacin. 4. El enfoque hacia el individuo o hacia el grupo. 5. Las cuestiones legales

La enciclopedia prctica de la pequea y mediana empresa presenta varias claves para los directivos sobre como informar a los empleados de su rendimiento, entre estas:

* Documentar el rendimiento del empleado. *Solicite la participacin del empleado. *Cntrese en los comportamientos. *Sea especfico y de tiempo.
Pgina 45

AUDITORIA INFORMTICA
*Dirija su informacin slo a facetas de la situacin de rendimiento que el empleado puede cambiar.

La enciclopedia prctica de la pequea y mediana empresa presenta varias claves que el empleado puede utilizar para obtener informacin sobre su rendimiento personal, entre estas:

*En el momento oportuno pida a su director y a los dems que contribuyan a valorar su rendimiento. *Mantenga un registro de sus logros y de sus fallos. *Invite a su director/evaluador a ofrecer sus sugerencias para mejorar. *Si recibe comentarios crticos no discuta ni se ponga sensible. Analice como puede mejorar.

Gestin del rendimiento:

Como punto final se puede mencionar la valoracin de la gestin del rendimiento. Enfatizan que el objetivo de la evaluacin radica en gestionar y mejorar el rendimiento de los empleados. Este hecho enfatiza el que los directivos tienen que analizar las causas de los problemas relacionados al rendimiento, dirigir la atencin a esas causas, desarrollar planes de accin y facilitar el que los empleados encuentren soluciones, as como utilizar una comunicacin centrada en el rendimiento.

Para mejorar el rendimiento se recomienda: *Analizar las causas de los problemas de rendimiento. *Atender directamente las causas de los problemas. *Desarrollar un plan de accin para facilitar que los trabajadores alcancen una solucin. *Comunicacin directamente sobre el rendimiento e informacin eficaz.
Pgina 46

AUDITORIA INFORMTICA

3.3.- ENTREVISTA CON EL PERSONAL DE INFORMTICA

Puede entrevistarse a un grupo de personas elegidas, sus opiniones deben ser debidamente fundamentadas.

Las opiniones determinan: Grado de cumplimiento de la estructura organizacional administrativa. Grado de cumplimiento de las polticas y los procesos administrativos Satisfaccin e insatisfaccin Capacitacin Observaciones generales

Gua de entrevista 1.-Nombre del puesto Ingeniero en sistemas 2.-Puesto del jefe inmediato Directora 3.-puestos a que reporta Directora del plantel 4.-Puestos de las personas que reportan al entrevistado Docentes de la institucin. 5.-Numero de personas que reportan al entrevistado 5 personas 6.-Describa brevemente las actividades diarias de su puesto Atender a los alumnos en diversas actividades en el laboratorio como son :

impresiones, investigacin, practicas , tres das de la semana clase a alumnos de primeros semestre, un da de la semana exclusivo para mantenimiento de equipo (hardware, software) 7.-Actividas peridicas
Pgina 47

AUDITORIA INFORMTICA
__Mantenimiento de equipo __Limpieza y orden __Revisin de inventario 8.-Actividades eventuales Capacitacin a docentes y alumnos (Inicio de semestre) Exmenes en lnea Registro de calificaciones (Docentes) Consulta de calificaciones (Alumnos) 9.-Con que manuales cuenta para el desempeo de su puesto? __Manual de organizacin __Manual de mantenimiento de hardware __Instructivo de equipos 10.-Cules polticas se tienen establecidas para el puesto? Tener el perfil para las actividades a realizar en el laboratorio. Lic. en informtica Ing. En sistemas 11.-Seale las lagunas que considere que hay en la organizacin. La insistencia en una gestin de equipo de computo para cubrir las necesidades de la institucin. 12.-En caso de que el entrevistado mencione cargas de trabajo Como las establece? Cargas de trabajo se dan en periodos de examen y fin de semestre. (uso frecuente de laboratorio para investigacin y practica). 13.-Cmo las controla? Haciendo horarios para cada grupo en los cuales se establece tiempo de impresin, investigacin y practica, pidiendo apoyo a alumnos de servicio social. 14.-Como se deciden las polticas que han que implementarse? Estas polticas se deciden de acuerdo a la reforma y alas necesidades que se presenten lo establece direccin general, direccin administrativa y direccin acadmica de colegio de bachilleres del estado de Tlaxcala.
Pgina 48

AUDITORIA INFORMTICA
15.-como recibe las instrucciones de los trabajos recomendados? En reunin de academia se toman acuerdos y posteriormente el materia (rea comunicaciones) jefe de

gira un oficio anexando un cronograma de

actividades y tiempo limite. Estas reuniones se realizan en receso de semestre con el fin de que la informacin sea actualizada. 16.-Con que frecuencia recibe capacitacin y de que tipo? La capacitacin se realiza en receso de semestre tomando como base la planeacin para nuevo ingreso,. esta capacitacin mas que nada es para establecer forma de trabajo, actualizar informacin por medio de cursos o talleres, de acuerdo a las asignaturas. 17.-Sobre que tema le gustara recibir capacitacin? Sobre como administrar un laboratorio de informtica. 18.-Mencione la capacitacin obtenida y dada a su personal durante el ltimo ao. En la actualidad lo que se pretende es apegarse a los lineamientos que establece la RIEMS (Reforma integral del la educacin media superior). 19.-Cmo considera el ambiente de trabajo? Lo considero bueno y satisfactorio. Aunque existen necesidades en esta rea de trabajo pero se puede improvisar. 20.-Observaciones. Al realizar la entrevista la relacin fue de confianza y cordialidad esto nos permiti obtener una informacin mas real.

3.4.- SITUACIN PRESUPUESTAL Y FINANCIERA.


La informacin financiera presupuestada est basada en diversos eventos e hiptesis que se espera ocurran en un futuro. Dicha informacin puede referirse a una cuenta, proyecto o estados financieros futuros de una entidad

Pgina 49

AUDITORIA INFORMTICA
A su vez ste tipo de informacin financiera puede estar elaborada bajo circunstancias que no necesariamente se espera que ocurran, con el propsito de determinar diversos escenarios financieros (pesimista, esperado y optimista) para ayudar a la toma de decisiones

La auditora presupuestaria tiene como objetivo analizar la forma de clculo de las cifras, as como verificar que tengan relacin con las circunstancias, supuestos o hiptesis bajo las cuales fueron determinadas.

Lo anterior para otorgar una opinin profesional sobre la certeza de las cifras presupuestadas en el caso de darse los supuestos bajo los cuales fueron estimadas o proyectadas.

3.4.1.- PRESUPUESTOS.

Un presupuesto es una herramienta de gestin conformada por un documento en donde se cuantifican pronsticos o previsiones de diferentes elementos de un negocio. Los presupuestos se suelen relacionar exclusivamente con los ingresos o egresos que realizar una empresa, sin embargo, podemos hacer uso de estas herramientas para cuantificar pronsticos o previsiones de cualquiera de los elementos de un negocio, por ejemplo, podemos presupuestar los cobros que realizaremos, los pagos de nuestras de deudas, los productos que fabricaremos, los materiales que requeriremos para producir dichos productos, etc. Los presupuestos son herramientas fundamentales para un negocio ya que nos permiten planificar, coordinar y controlar nuestras operaciones:

planeacin: los presupuestos nos permiten planificar actividades, planificar objetivos, recursos, estrategias, cursos a seguir; anticipndose a los hechos y, por tanto, ayudndonos a reducir la incertidumbre y los cambios.
Pgina 50

AUDITORIA INFORMTICA
coordinacin: los presupuestos sirven como gua para coordinar

actividades, permitindonos armonizar e integrar todas las secciones o reas del negocio, tanto entre stas, como con los objetivos de la empresa. control: los presupuestos sirven como instrumento de control y evaluacin, nos permiten comparar los resultados obtenidos con los presupuestados para que, de ese modo, por ejemplo, saber en qu reas o actividades existen desviaciones o variaciones (diferencias entre lo obtenido y lo presupuestado).

3.4.2.- RECURSOS FINANCIEROS Y MATERIALES Recursos financieros


Estos resultan fundamentales para el xito o fracaso de una gestin administrativa, lo bsico en su administracin es lograr el equilibrio en su utilizacin. Tan negativo es para la empresa en su escasez como su abundancia. Cualquiera de las dos situaciones resulta antieconmica; de ah que la administracin actualmente. La administracin de recursos materiales consiste en: Obtener oportunamente, en el lugar preciso, en las mejores condiciones de costo, y en la cantidad y calidad requerida, los bienes y servicios para cada unidad orgnica de la empresa de que se trate, con el propsito de que se ejecuten las tareas y de elevar la eficiencia en las operaciones. Recursos Financieros La administracin de recursos financieros supone un control presupuestal y significa llevar a cabo toda la funcin de tesorera (ingresos y egresos). Es decir,
Pgina 51

de

recursos

materiales

haya

cobrado

tanta

importancia

AUDITORIA INFORMTICA
todas las salidas o entradas de efectivo deben estar previamente controladas por el presupuesto. Para estar en condiciones de evitar fallas y de aplicar correcciones

oportunamente, corresponde al rea financiera realizar los registros contables necesarios. Estos registros contables deben corresponder al presupuesto efectundose por unidad organizacional. La administracin financiera consiste en: Obtener oportunamente y en las mejores condiciones de costo, recursos financieros para cada unidad orgnica de la empresa que se trate, con el propsito de que se ejecuten las tareas, se eleve la eficiencia en las operaciones y se satisfagan los intereses de quienes reciben los bienes o servicios.

4.- EVALUACIN DE LA SEGURIDAD.


4.1GENERALIDADES DE LA SEGURIDAD DEL REA FSICA Durante mucho tiempo se considero que los procedimientos de auditora y seguridad era responsabilidad de la persona que elabora los sistemas, sin considerar que es responsabilidad del rea de informtica en cuanto a la utilizacin que se le da a la informacin y a la forma de accesarla y del

departamento de auditora interna en cuanto a la supervisin y diseo de los controles necesarios. La seguridad del rea de informtica tiene como objetivos: Proteger la integridad, exactitud y confidencialidad de la informacin Proteger los activos ante desastres provocados por la mano del hombre y de actos hostiles Proteger la organizacin contra situaciones externas como desastres naturales y sabotajes
Pgina 52

AUDITORIA INFORMTICA
En caso de desastre, contar con los planes y polticas de contingencias para lograr una pronta recuperacin Contar con los seguros necesarios que cubran las prdidas econmicas encaso de desastre. Los motivos de los delitos por computadora normalmente son por: Beneficio personal Beneficios para la organizacin Sndrome de Robn Hood (por beneficiar a otra persona) Jugando a jugar Auditoria Informtica Fcil de desfalcar El individuo tiene problemas financieros La computadora no tiene sentimientos El departamento es deshonesto odio a la organizacin Equivocacin de ego Mentalidad turbada Se consideran que hay cinco factores que han permitido el incremento de los crmenes por computadora El aumento del nmero de personas que se encuentran estudiando computacin El aumento del nmero de empleados que tienen acceso a los equipos La facilidad en los equipos de cmputo El incremento en la concentracin del nmero de aplicaciones y,

consecuentemente, de la informacin. En la actualidad las compaas cuentan con grandes dispositivos para seguridad fsica de las computadoras, y se tiene la idea que los sistemas no puedan ser
Pgina 53

AUDITORIA INFORMTICA
violados si no se entra en el centro de cmputo, olvidando que se pueden usar terminales y sistemas de teleproceso. 4.2.- SEGURIDAD LGICA Y CONFIDENCIAL .Se encarga de los controles de acceso que estn diseados para salvaguardar la integridad de la informacin almacenada de una computadora, as como controlar el mal uso de su informacin. Estos controles reducen el riesgo de caer en situaciones adversas. seguridad lgica se encarga de controlar y salvaguardar la informacin generada por los sistemas, por el software de desarrollo y por los programas en aplicacin; identifica individualmente a cada usuario y sus actividades en el sistema, y restringe el acceso a datos, a los programas de uso general, de uso especifico, e la redes y terminales. La falta de seguridad lgica o su violacin puede traer las siguientes consecuencias a la organizacin: Cambio de los datos antes o cuando se le da entrada a la computadora Copias de programas y/o informacin Cdigo oculto en un programa Entrada de virus El tipo de seguridad puede comenzar desde una simple llave de acceso (contraseas) hasta los sistemas ms complicados, pero se debe evaluar que cuanto ms complicados sean los dispositivos de seguridad ms costosos resultan. Los sistemas de seguridad normalmente no se consideran la posibilidad defraude cometida por los empleados en el desarrollo de sus funciones. Un mtodo eficaz para proteger los sistemas de computacin el software de control de acceso. Estos paquetes de control de acceso protegen contra el acceso no autorizado, pues piden al usuario una contrasea antes de permitirle el acceso a informacin confidencial. El sistema integral de seguridad debe comprender: Elementos administrativos
Pgina 54

AUDITORIA INFORMTICA
Definicin de una poltica de seguridad Auditoria Organizacin y divisin de responsabilidades 4.3.- SEGURIDAD PERSONAL Uno de los punto ms importantes a considerar para poder definir la seguridad de un sistema es el grado de actuacin que puede tener un usuario dentro de un sistema, ya que la informacin se encuentra en un archivo normal o en una base de datos, o bien que se posea una minicomputadora, o un sistema de red. Para esto podemos definir los siguientes tipos de usuarios: Propietario.- Es el dueo de la informacin y responsable de sta, y puede realizar cualquier funcin: Administrador.- Solo puede actualizar o modificar el software con la debida autorizacin Usuario principal.- Esta autorizado por el propietario para hacer modificaciones, cambios, lecturas y utilizacin de los datos, pero no da autorizacin para que otros usuarios entren Usuario de consulta.- Solo puede leer la informacin Usuario de explotacin.- Puede leer la informacin y usarla para explotacin de la misma Usuario de auditora.- Puede usar la informacin y rastrearla dentro del sistema para fines de auditora Se recomienda que solo exista un usuario propietario y que el administrador sea una persona designada por la gerencia de informtica. 4.4.- CLASIFICACIN DE LOS CONTROLES DE SEGURIDAD El gran crecimiento de las redes, interconexiones y telecomunicaciones en general, incluido el uso de Internet de forma casi corriente, ha demostrado que la seguridad fsica no lo es todo. Es un punto que debe complementarse
Pgina 55

AUDITORIA INFORMTICA
necesariamente con la implementacin de controles para la seguridad lgica delos sistemas y computadoras. Es esa tendencia de interconexin de redes con otras redes, o de una simple PC a Internet la que nos da la pauta de que an si usamos tarjetas electrnicas para acceder a nuestra oficina, hay otras puertas traseras mucho menos evidentes que debemos controlar porque nuestros sistemas estn virtualmente a la espera de que alguien intente utilizarlos. Los controles: Identificacin y autenticacin de usuarios.- Identificacin es el proceso de distinguir una persona de otra; y autenticacin es validar por algn medio que esa persona es quien dice ser. Los controles biomtricos: Huellas dactilares Patrones de la retina Geometra de la mano Dinmica de la firma Patrones de la voz Programas de control de acceso.- Programas diseados para administrar los permisos de acceso a los recursos del sistema de informacin. Controles para el software.- Sirven para asegurar la seguridad y confiabilidad del software. Controles para el hardware.- Controles que aseguran la seguridad fsica y el correcto funcionamiento del hardware de cmputo.

Pgina 56

AUDITORIA INFORMTICA
4.5.- SEGURIDAD DE LOS DATOS Y SOFTWARE DE APLICACIN Ruta de acceso El acceso a la computadora no significa tener una entrada sin restricciones. Limitar el acceso slo a los niveles apropiados puede proporcionar una mayor seguridad. Cada uno de los sistemas de informacin tiene una ruta de acceso, la cual puede definirse como la trayectoria seguida en el momento de acceso al sistema. Como se ha sealado, un usuario puede pasar por uno o mltiples niveles de seguridad antes de obtener el acceso a los programas y datos. Los tipos derestricciones de acceso son: Slo de lectura Slo de escritura Lectura y consulta Lectura y escritura, para crear, actualizar, borrar, ejecutar o copiar El esquema de las rutas de acceso sirve para identificar todos los puntos de control que pueden ser usados para proteger los datos en el sistema. Software de control de acceso Este puede ser definido como el software diseado para emitir el manejo de control y acceso a los siguientes recursos. Programas de libreras Archivos de datos Jobs Programas de aplicacin Mdulos de funciones
Pgina 57

AUDITORIA INFORMTICA
Utileras Diccionario de datos Archivos Programas Comunicacin Controla el acceso a la informacin, grabando e investigando los eventos realizados y el acceso a los recursos, por medio de identificacin del usuario. El software de control de acceso tiene las siguientes funciones: Definicin de usuarios Definicin de las funciones del usuario despus de accesar el sistema El software de seguridad protege los recursos mediante la identificacin de los usuarios autorizados con llaves de acceso, que son archivadas y guardadas por este software. Algunos paquetes de seguridad pueden ser usados para restringir el acceso a programas, libreras y archivo de datos; otros pueden limitar el uso de terminales o restringir el acceso a base de datos. La mayor ventaja del software de seguridad es la capacidad de proteger los recursos de acceso no autorizados, incluyendo los siguientes: Proceso en espera de modificacin por un programa de aplicacin Acceso por los editores en lnea Acceso por utileras de software Acceso a archivos de las base de datos Acceso a terminales o estaciones no autorizadas Existen otros tipos de software de control de acceso como son los siguientes:
Pgina 58

AUDITORIA INFORMTICA
Sistemas operativos Manejadores de base de datos Software de consolas o terminales maestras Software de libreras software de utileras Telecomunicaciones 4.6.- CONTROLES PARA EVALUAR SOFTWARE DE APLICACIN Controles del software de seguridad general Aplican para todos los tipos de software y recursos relacionados y sirven para: El control de acceso a programas y a la instalacin Vigilar los cambios realizados Controles de acceso a programas y datos Cambios realizados Diseo y cdigo de modificaciones Coordinacin de otros cambios Asignacin de responsabilidades Revisin de estndares y aprobacin Requerimientos mnimos de prueba Procedimientos del respaldo en el evento de interrupcin Controles de software especifico Se presentan algunos de los controles usados por los diferentes tipos de software especfico:
Pgina 59

AUDITORIA INFORMTICA
El acceso al sistema debe de ser restringido para individuos no autorizados Se debe controlar el acceso a los proceso y a las aplicaciones permitiendo a los usuarios autorizados ejecutar sus obligaciones asignadas y evitando que personas no autorizadas logren el acceso. Se limitara tanto a usuarios como a programadores de aplicaciones a un tipo especifico de acceso de datos. Para asegurar las rutas de acceso deber restringirse el acceso a secciones o tablas de seguridad, mismas que debern ser encriptados. Debern restringirse las modificaciones o cambios al software de control de acceso, y stos debern ser realizados de acuerdo y a procedimientos no autorizados: Software de sistemas operativos. Controles que incluye: Los password e identificadores debern ser confidenciales El acceso al software de sistema operativo deber ser restringido Los administradores de seguridad debern ser los nicos con autoridad para modificar funciones del sistema Software manejador de base de datos. Controles que incluye: El acceso a los archivos de datos deber ser restringido en una vista de datos lgica Deber controlar el acceso al diccionario de datos La base de datos debe ser segura y se usaran las facilidades de control de acceso construidas dentro del software DBMS

Pgina 60

AUDITORIA INFORMTICA
Software de consolas o terminales maestras. Controles que incluye: Los cambios realizados al software de consolas o terminales maestras debern ser protegidas y controlados Software de libreras. Controles que incluye: Tiene la facilidad de compara dos versiones de programas en cdigo fuente y reportar las diferencias Deben limitarse el acceso a programas o datos almacenados por el software de libreras Las versiones correctas de los programas de produccin deben corresponder a los programas objetos Software de utileras. Controles que incluye: Debern restringirse el acceso a archivos de utileras Software de sistemas operativos. Controles que incluye: Los password e identificadores debern ser confidenciales El acceso al software de sistema operativo deber ser restringido Los administradores de seguridad debern ser los nicos con autoridad para modificar funciones del sistema Software manejador de base de datos. Controles que incluye: El acceso a los archivos de datos deber ser restringido en una vista de datos lgica
Pgina 61

AUDITORIA INFORMTICA
Deber controlar el acceso al diccionario de datos La base de datos debe ser segura y se usaran las facilidades de control de acceso construidas dentro del software DBMS Software de consolas o terminales maestras. Controles que incluye: Los cambios realizados al software de consolas o terminales maestras debern ser protegidas y controlados Software de libreras. Controles que incluye: Tiene la facilidad de compara dos versiones de programas en cdigo fuente y reportar las diferencias Deben limitarse el acceso a programas o datos almacenados por el software de libreras Las versiones correctas de los programas de produccin deben corresponder a los programas objetos Software de utileras. Controles que incluye: Debern restringirse el acceso a archivos de utileras Asegurar que nicamente personal autorizado tenga acceso a corre aplicaciones Software de telecomunicaciones. Controles que incluye: Controles de acceso a datos sensibles y recursos de la red El acceso diario al sistema debe ser monitoreado y protegido

4.7.-CONTROLES PARA PREVENIR CRMENES Y FRAUDES INFORMTICOS

Como hablamos de realizar la evaluacin de la seguridad es importante tambin conocer cmo desarrollar y ejecutar el implantar un sistema de seguridad. Desarrollar un sistema de seguridad significa: "planear, organizar coordinar dirigir
Pgina 62

AUDITORIA INFORMTICA
y controlar las actividades relacionadas a mantener y garantizar la integridad fsica de los recursos implicados en la funcin informtica, as como el resguardo de los activos de la empresa."Por lo cual podemos ver las consideraciones de un sistema de integral de seguridad. Sistema Integral de Seguridad Definir elementos administrativos Definir polticas de seguridad A nivel departamental A nivel institucional Organizar y dividir las responsabilidades Contemplar la seguridad fsica contra catstrofes (incendios, terremotos, inundaciones, etc.) Definir prcticas de seguridad para el personal: Plan de emergencia (plan de evacuacin, uso de recursos de emergencia como extinguidores. Nmeros telefnicos de emergencia Definir el tipo de plizas de seguros Definir elementos tcnicos de procedimientos Definir las necesidades de sistemas de seguridad para: Hardware y software Flujo de energa Cableados locales y externos Aplicacin de los sistemas de seguridad incluyendo datos y archivos Planificacin de los papeles de los auditores internos y externos Planificacin de programas de desastre y sus pruebas(simulacin) Planificacin de equipos de contingencia con carcter peridico Control de desechos de los nodos importantes del sistema: Poltica de destruccin de basura copias, fotocopias, etc. Etapas para Implementar un Sistema de Seguridad

Pgina 63

AUDITORIA INFORMTICA
Para dotar de medios necesarios para elaborar su sistema de seguridad se debe considerar los siguientes puntos: Sensibilizar a los ejecutivos de la organizacin en torno al tema de seguridad. Se debe realizar un diagnstico de la situacin de riesgo y seguridad de la informacin en la organizacin a nivel software, hardware, recursos humanos, y ambientales. Elaborar un plan para un programa de seguridad. El plan debe elaborarse contemplando:

Plan de Seguridad Ideal (o Normativo) Un plan de seguridad para un sistema de seguridad integral debe contemplar: El plan de seguridad debe asegurar la integridad y exactitud de los datos Debe permitir identificar la informacin que es confidencial Debe contemplar reas de uso exclusivo . Debe proteger y conservar los activos de desastres provocados por la mano del hombre y los actos abiertamente hostiles Debe asegurar la capacidad de la organizacin para sobrevivir accidentes Debe proteger a los empleados contra tentaciones o sospechas innecesarias Debe contemplar la administracin contra acusaciones por imprudencia

4.8.-

PLAN

DE

CONTINGENCIA,

SEGUROS,

PROCEDIMIENTO

DE

RECUPERACIN DE DESASTRES

PLAN DE CONTINGENCIAS El plan de contingencias y el plan de seguridad tienen como finalidad proveer a la organizacin de requerimientos para su recuperacin ante desastres. La metodologa tiene como finalidad conducir de la manera ms efectiva un plan de recuperacin ante una contingencia sufrida por la organizacin. El plan de
Pgina 64

AUDITORIA INFORMTICA
contingencia es definido como: la identificacin y proteccin de los procesos crticos de la organizacin y los recursos requeridos para mantener un aceptable nivel de transacciones y de ejecucin, protegiendo estos recursos y preparando procedimientos para asegurar la sobrevivencia de la organizacin encaso de desastre.

Entre los objetivos del plan de contingencia se encuentran: Minimizar el impacto del desastre en la organizacin. Establecer tareas para evaluar los procesos indispensables de la organizacin. Evaluar los procesos de la organizacin, con el apoyo y autorizacin respectivos a travs de una buena metodologa.

Determinar el costo del plan de recuperacin, incluyendo la capacitacin y la organizacin para restablecer los procesos crticos de la organizacin cuando ocurra una interrupcin de las operaciones.

Seguridad contara desastres provocada por agua Los centros de cmputo no deben colocarse en stanos o en reas de planta baja, sino de preferencia en las partes altas de una estructura de varios pisos aunque hay que cuidar que en zonas ssmicas no queden en lugares donde o peso ocasionado por equipos o papel pueda provocar problemas. Se debe evaluar la mejor opcin, dependiendo de la seguridad de acceso al centro de cmputo, cuando en la zona existen problemas de inundaciones o son ssmicas. En caso de ser zona de inundaciones o con problemas de drenaje la mejor opcin es colocar el centro de cmputo en reas donde el riesgo de inundacin no sea evidente. Algunas causas de esto pueden ser la ruptura de caeras o el bloqueo del drenaje, por lo tanto, la ubicacin de las caeras en un centro de cmputo es una decisin importante, as como considerar el nivel del manto fretico. Debe considerarse el riesgo que representa el drenaje cuando el centro de cmputo se
Pgina 65

AUDITORIA INFORMTICA
localiza en un stano. Deben instalarse, si es el caso, detectores de agua o inundacin, as como bombas de emergencia para resolver inundaciones inesperadas. Otro de los cuidados que se deben tener para evitar daos por agua es poseer aspersores contra incendio especiales que no sean de agua.

Seguridad de autorizacin de acceso Es importante asegurarse que los controles de acceso sean estrictos durante todo el da, y que stos incluyan a todo el personal de la organizacin, en especial durante los descansos y cambios de turno. El personal de informtica, as como cualquier otro ajeno a la instalacin, se debe identificar antes de entrar a sta. El riesgo que proviene de alguien de la organizacin es tan grande como el de cualquier otro visitante. Solamente el personal autorizado por medio de una llave de acceso o por la gerencia debe ingresar a dichas instalaciones. En los centros de cmputo se pueden utilizar los siguientes recursos: Puerta con cerradura. Requiere de la tradicional llave de metal, la cual debe ser difcil de duplicar. Puerta de combinacin. En este sistema se usa una combinacin de nmeros para permitir el acceso. Puerta electrnica. El sistema ms comn es el que usa una tarjeta de plstico magntica como llave de entrada. Puertas sensoriales. Son activadas por los propios individuos con alguna parte de su cuerpo, como puede ser la huella dactilar, voz, retina, geometra de la mano o bien por la firma. Registros de entrada. Todos los visitantes deben firmar el registro de visitantes indicando su nombre, su compaa, la razn para la visita, la persona a la que visita.

Videocmaras. stas deben ser colocadas en puntos estratgicos para que se


pueda monitorear el centro Escolta controladora para el acceso de visitantes. Todos los visitantes deben ser acompaados por un empleado responsable.
Pgina 66

AUDITORIA INFORMTICA
Puertas dobles. Este equipo es recomendable para lugares de alta seguridad: se
trata de dos puertas, donde la segunda slo se pueda abrir cuando la primera est cerrada.

Alarmas. Todas las reas deben estar protegidas contra robo o accesos fsicos
no autorizados. Las alarmas contra robo deben ser usadas hasta donde sea posible en forma discreta, de manera que no se atraiga la atencin hacia este dispositivo de alta seguridad Seguros Los seguros de los equipos en algunas ocasiones se dejan en segundo trmino, aunque son de gran importancia. Se tiene poco conocimiento de los riesgos que entraa la computacin, ya que en ocasiones el riesgo no es claro para las compaas de seguros, debido a lo nuevo de la herramienta, a la poca experiencia existente sobre desastres y al rpido avance de la tecnologa. Como ejemplo de lo anterior tenemos las plizas de seguros contra desastres, ya que algunos conceptos son cubiertos por el proveedor del servicio de mantenimiento, lo cual hace que se duplique el seguro, o bien que sobrevengan desastres que no son normales en cualquier otro tipo de ambiente. El seguro debe cubrir todo el equipo y su instalacin, por lo que es probable que una sola pliza no pueda cubrir todo el equipo con las diferentes caractersticas (existe equipo que puede ser transportado, como computadoras personales, y otras que no se pueden mover, como unidades de disco duro), por lo que tal vez convenga tener dos o ms plizas por separado, cada una con las especificaciones necesarias. Como ejemplo y en forma genrica, por lo comn un seguro de equipo de cmputo considera lo siguiente: Bienes que se pueden amparar. Riesgos cubiertos. Riesgos excluidos Exclusiones Suma asegurada.
Pgina 67

AUDITORIA INFORMTICA
Primas, cuotas y deducibles. Indemnizacin en caso de siniestro

4.9.-TCNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD FSICA Y DEL PERSONAL

Proteccin a los procedimientos de procesamiento y los equipos contra las intervenciones exteriores: Slo se debe permitir al personal autorizado que maneje los equipos de procesamiento. Slo se permitir la entrada al personal autorizado y competente Seleccionar al personal mediante la aplicacin de exmenes integrales: mdico, psicolgico, aptitudes, etc. Contratar personal que viva en zonas cercanas a la empresa. Acondicionar los locales, de acuerdo con las normas de seguridad. Capacitar y adiestrar al personal respecto a los riesgos a los que se exponen y la manera de evitarlos. Practicar con periodicidad exmenes mdicos al personal Sostener plticas informales, directas e individuales con el personal. Instalar carteles y propaganda mural referentes a la seguridad. Elaborar estadsticas sobre riesgos ocurridos y derivar de ellas las medidas concretas adoptables para evitar su repeticin. Enterar al personal sobre dichas estadsticas y las medidas adoptadas. Proponer otras actividades que se consideren necesarias.

Pgina 68

AUDITORIA INFORMTICA
4.10.-TECNICAS Y HERRAMIENTAS RELACIONADAS CON LA SEGURIDAD DE LOS DATOS Y SOFTWARE DE APLICACION Proteccin de los registros y de los archivos. Formas en que se puede perder los archivos: Su presencia en ambiente distribuido. Manejo indebido por parte del operador. Mal funcionamiento por parte de la maquina. Plan de preservacin: documentos fuente: los documentos fuentes en los que se basa un archivo de entrada deben ser retenidos intactos hasta el momento de que el archivo sea comprobado. Archivos de disco: una caracterstica sea del archivo de disco es que el registro anterior es destruido, no produce una copia automticamente una copia en duplicado. Vacio a otros medios: esto puede ser vaciado a otros discos, o a papel de impresin. Objetivo de la auditoria de software de aplicacin: Verificar la presencia de procedimientos y controles Para satisfacer : La instalacin del software. La operacin y seguridad del software. La administracin del software. Detectar el grado de confiabilidad: Grado de confianza, satisfaccin y desempeo. Investigar si existen polticas con relacin al software. Detectar si existen controles de seguridad.

Actualizacin del software de aplicacin Tipos de controles:


Pgina 69

AUDITORIA INFORMTICA
Control de distribucin. Validacin de datos. Totales de control. Control de secuencia. Pruebas de consistencia y verosimilitud. Digito d control. Control de distribucin.

UNIDAD 5 AUDITORIA DE LA SEGURIDAD EN LA TELEINFORMTICA.


5.1 GENERALIDADES DE LA SEGURIDAD EN EL REA DE LA

TELEINFORMTICA

Introduccin Una de las principales caractersticas de la sociedad actual es la gran importancia que ha adquirido la posesin y el uso de la informtica. Se ha acuado el termino de sociedad de la informacin para describir este fenmeno. El almacenismo, el manejo y la difusin de grandes cantidades de informacin es algo habitual en nuestros das, favorecido por el desarrollo de las denominadas nuevas tecnologas de la informacin. La informtica ha facilitado este hecho, pero sucede, cada vez ms, que la informacin que se obtiene o produce en un lugar, se precisa en otro lugar distinto, a veces muy lejano. Es normal que los datos implicados en un determinado proceso haya que obtenerlos de distintos orgenes, fsicamente dispersos. La sociedad actual exige, adems, disponer de estos datos con rapidez y fiabilidad. Ante este problema de distancia entre el lugar de produccin de datos y el lugar de tratamiento, la obtencin de informacin distante o la comparticin de datos y el lugar de tratamiento.
Pgina 70

AUDITORIA INFORMTICA
La obtencin de informacin distante o la comparticin de datos por sujetos ubicados en distintos lugares, ha surgido una nueva tcnica que utiliza u ana la Informtica y las Telecomunicaciones, a la cual se denomina Teleinformtica En la actualidad tiene una gran trascendencia tanto tcnica como social, lo que se denomina teleinformtica: la unin de la informtica y las telecomunicaciones. Tanto en la vida profesional como en las actividades cotidianas, es habitual el uso de expresiones y conceptos relacionados con la teleinformtica. Mediante esta tcnica se pueden interconectar a distancia computadoras, terminales y otros equipos, usando para ello algn medio adecuado de comunicacin, como por ejemplo lneas telefnicas, cables coaxiales, microondas, etctera. Los requerimientos en la seguridad de la informacin de la organizacin han sufrido dos cambios importantes en las ltimas dcadas. Previo a la difusin en el uso de equipo de informacin la seguridad de la misma era considerada como valiosa para la organizacin en las reas administrativas, por ejemplo el uso de gabinetes con candado para el almacenamiento de documentos importantes. Con la introduccin de las computadoras la necesidad de herramientas automatizadas para la proteccin de archivos y otra informacin almacenada fue evidente, especialmente en el caso de sistemas compartidos por ejemplo sistemas que pueden ser accesados va telefnica o redes de informacin. El nombre genrico de las herramientas para proteger la informacin as como la invasin de hackers es la seguridad computacional. El segundo cambio que afect la seguridad fue la introduccin de sistemas distribuidos as como el uso de redes e instalaciones de comunicacin para enviar informacin entre un servidor y una computadora o entre dos computadoras.

Pgina 71

AUDITORIA INFORMTICA
Las medidas de seguridad de redes son necesarias para proteger la informacin durante su transmisin as como para garantizar que dicha informacin sea autntica. La tecnologa utilizada para la seguridad de las computadoras y de las redes automatizadas es la inscripcin y fundamentalmente se utilizan la encripcin convencional o tambin conocida como encripcin simtrica, que es usada para la privacidad mediante la autentificacin y la encripcin public key. Tambin conocida como asimtrica utilizada para evitar la falsificacin de informacin y transacciones por medio de algoritmos basados en funciones matemticas, que a diferencia de la encripcin simtrica utiliza dos claves para la proteccin de reas como la confidencialidad, distribucin de claves e identificacin. Propiedades de la informacin que protegen la seguridad informtica La Seguridad Informtica debe vigilar principalmente por las siguientes propiedades: Privacidad La informacin debe ser vista y manipulada nicamente por quienes tienen el derecho o la autoridad de hacerlo. Un ejemplo de ataque a la Privacidad es la Divulgacin de Informacin Confidencial. Integridad La informacin debe ser consistente, fiable y no propensa a alteraciones no deseadas. Un ejemplo de ataque a la Integridad es la modificacin no autorizada de saldos en un sistema bancario o de calificaciones en un sistema escolar. Disponibilidad La informacin debe estar en el momento que el usuario requiera de ella. Un ataque a la disponibilidad es la negacin de servicio (En Ingls Denial of Service o DoS) o tirar el servidor

Pgina 72

AUDITORIA INFORMTICA
5.2 OBJETIVOS Y CRITERIOS DE LA AUDITORIA EN EL REA DE LA

TELEINFORMTICA Cada vez ms las comunicaciones estn tomando un papel determinante en el tratamiento de datos, cumplindose el lema el computador es la red. Mientras que comnmente el directivo informtico tiene amplios conocimientos de comunicaciones estn a la misma altura, por lo que el riesgo de deficiente anclaje de la gerencia de comunicaciones en el esquema organizativo existe. Por su parte, los informticos a cargo de las comunicaciones suelen auto considerarse exclusivamente tcnicos, obviando considerar las aplicaciones organizativas de su tarea. Todos estos factores convergen en que la auditora de comunicaciones no siempre se practique con la frecuencia y profundidad equivalentes a las de otras reas del proceso de datos. Por tanto, el primer punto de una auditora es determinar que la funcin de gestin de redes y comunicaciones est claramente definida, debiendo ser responsable, en general, de las siguientes reas Gestin de la red, inventario de equipamiento y normativa de conectividad. Monitorizacin de las comunicaciones, registro y resolucin de problemas. Revisin de costos y su asignacin de proveedores y servicios de transporte, balanceo de trfico entre rutas y seleccin de equipamiento. Como objetivos del control, se debe marcar la existencia de: Una gerencia de comunicaciones con autoridad para establecer procedimientos y normativa. Procedimientos y registros de inventarios y cambios.

Pgina 73

AUDITORIA INFORMTICA
Funciones de vigilancia del uso de la red de comunicaciones, ajustes de rendimiento, registro de incidencias y resolucin de problemas. Procedimientos para el seguimiento del costo de las comunicaciones y su reparto a las personas o unidades apropiadas. Auditando la red fsica En una primera divisin, se establecen distintos riesgos para los datos que circulan dentro del edificio de aquellos que viajan por el exterior. Por tanto, ha de auditarse hasta qu punto las instalaciones fsicas del edificio ofrecen garantas y han o estudiadas las vulnerabilidades existentes. En general, muchas veces se parte del supuesto de que si no existe acceso fsico desde el exterior ala red interna de una empresa las comunicaciones internas quedan a salvo. El equipo de comunicaciones se mantiene en habitaciones cerradas con acceso limitado apersonas autorizadas. La seguridad fsica de los equipos de comunicaciones, tales como controladores de comunicaciones, dentro de las salas de computadores sea adecuada. Slo personas con responsabilidad y conocimientos estn incluidas en la lista de personas permanentemente autorizadas para entrar en las salas de equipos de comunicaciones. Se toman medidas para separar las actividades de electricistas y personal de tendido y mantenimiento de tendido de lneas telefnicas, as como sus autorizaciones de acceso, de aqullas del personal bajo control de la gerencia de comunicaciones. Facilidades de traza y registro del trfico de datos que posean los equipos de monitorizacin.
Pgina 74

AUDITORIA INFORMTICA
Procedimientos de aprobacin y registro ante las conexiones a lneas de comunicaciones en la deteccin y correccin de problemas. En el plan general de recuperacin de desastres para servicios de informacin presta adecuada atencin a la recuperacin y vuelta al servicio de los sistemas de comunicacin de datos. Existen planes de contingencia para desastres que slo afecten a las comunicaciones, como el fallo de una sala completa de comunicaciones. Las alternativas de respaldo de comunicaciones, bien sea con las mismas salas o con salas de respaldo, consideran la seguridad fsica de estos lugares. Las lneas telefnicas usadas para datos, cuyos nmeros no deben ser pblicos, tienen dispositivos/procedimientos de seguridad tales como retrollamada, cdigos de conexin o interruptores para impedir accesos no autorizados al sistema informtico. Auditando la red lgica Cada vez ms se tiende a que un equipo pueda comunicarse con cualquier otro equipo, de manera que sea la red de comunicaciones el substrato comn que les une. Simplemente si un equipo, por cualquier circunstancia, se pone a enviar indiscriminadamente mensajes, puede ser capaz de bloquear la red completa y por tanto, al resto de los equipos de la instalacin. Es necesario monitorizar la red, revisar los errores o situaciones anmalas que se producen y tener establecidos los procedimientos para detectar y aislar equipos en situacin anmala. En general, si se quiere que la informacin que viaja por la red no pueda ser espiada, la nica solucin totalmente efectiva es la encriptacin. Como objetivos de control, se debe marcar la existencia de:

Pgina 75

AUDITORIA INFORMTICA
Contraseas y otros procedimientos para limitar y detectar cualquier intento de acceso no autorizado a la red de comunicaciones. Facilidades de control de errores para detectar errores de transmisin y establecer las retransmisiones apropiadas Controles para asegurar que las transmisiones van solamente a usuarios autorizados y que los mensajes no tienen por qu seguir siempre la misma ruta.

5.3 SNTOMAS DE RIESGO


Introduccin Los profundos cambios que ocurren hoy, su complejidad y la velocidad con los que se dan, son las races de la incertidumbre y el riesgo que las organizaciones confrontan. Las fusiones, la competencia global y los avances tecnolgicos, las

desregulaciones, y las nuevas regulaciones, el incremento en la demanda de los consumidores y de los habitantes, la responsabilidad social y ambiental de las organizaciones. PREVISIN DE RIESGOS Tener en cuenta lo siguiente: La evaluacin de los riesgos inherentes a los diferentes subprocesos de la Auditora. La evaluacin de las amenazas o causas de los riesgos. Los controles utilizados para minimizar las amenazas o riesgos. La evaluacin de los elementos del anlisis de riesgos. EJECUCIN DE AUDITORAS TIPOS DE RIESGO:
Pgina 76

AUDITORIA INFORMTICA
Riesgo de Control: Es aquel que existe y que se propicia por falta de control de las actividades de la empresa y puede generar deficiencias del Sistema de Control Interno. Riesgo de Deteccin: Es aquel que se asume por parte de los auditores que en su revisin no detecten deficiencias en el Sistema de Control Interno. Riesgo Inherente: Son aquellos que se presentan inherentes a las caractersticas del Sistema de Control Interno. EXISTENCIA DE ERRORES O IRREGULARIDADES. a) Cuando el auditor tiene dudas sobre la integridad de los funcionarios de la empresa. b) Cuando el auditor detecte que los puestos clave como cajero, contador, administrador o gerente, tienen un alto porcentaje de rotacin. c) El desorden del departamento de contabilidad de una entidad implica informes con retraso, registros de operaciones inadecuados, archivos incompletos, cuentas no conciliadas, etc. VERIFICAR FUNCIONES Aspectos: existencia de un mtodo para cerciorarse que los datos recibidos para su valoracin sean completos, exactos y autorizados emplear procedimientos normalizados para todas las operaciones y examinarlos para asegurarse que tales procedimientos son acatados;

existencia de un mtodo para asegurar una pronta deteccin de errores y mal funcionamiento del Sistema de Cmputo;

Pgina 77

AUDITORIA INFORMTICA

deben existir procedimientos normalizados para impedir o advertir errores accidentales, provocados por fallas de operadores o mal funcionamiento de mquinas y programas . SISTEMAS DE CONTROL DE RIESGOS o Sistemas Comunes de Gestin o Servicios de Auditora Interna Sistemas Comunes de Gestin Desarrollan las normas internas y su mtodo para la evaluacin y el control de los riesgos y representan una cultura comn en la gestin de los negocios, compartiendo el conocimiento acumulado y fijando criterios y pautas de actuacin. OBJETIVOS 1. Identificar posibles riesgos 2. Optimizar la gestin diaria 3. Fomentar la sinergia y creacin de valor de los distintos grupos de negocio trabajando en un entorno colaborador. 4. Reforzar la identidad corporativa 5. Alcanzar el crecimiento a travs del desarrollo estratgico que busque la innovacin y nuevas opciones a medio y largo plazo. NIVELES a) todas las Unidades de Negocio y reas de actividad. b) todos los niveles de responsabilidad c) todos los tipos de operaciones.

GESTIN DE RIESGOS Servicios de Auditora.


Pgina 78

AUDITORIA INFORMTICA
Auditores internos con las dems reas de la organizacin en los procesos de mejora continua relacionados con: la identificacin de los riesgos relevantes a partir de la definicin de los dominios o puntos clave de la organizacin. La estimacin de la frecuencia con que se presentan los riesgos identificados. La determinacin de los objetivos especficos de control ms convenientes.

Qu evalan los auditores internos? La cantidad y calidad de las exposiciones al riesgo referidas a la administracin, custodia y proteccin de los recursos disponibles, operaciones y sistemas de informacin de la organizacin, teniendo en cuenta la necesidad de garantizar a un nivel razonable. OBJETIVOS Confiabilidad e integridad de la informacin financiera y operacional. Eficacia y eficiencia de las operaciones. Control de los recursos de todo tipo a disposicin de la entidad. Cumplimiento de las leyes, reglamentos, polticas y contratos. GESTIN DE RIESGOS Servicios de Consultora. Los auditores internos deben incorporar los conocimientos del riesgo obtenidos de los trabajos de Consultora en los procesos de identificacin, anlisis y evaluacin de las exposiciones de riesgo significativa en la organizacin. Los riesgos pueden provenir de: Deficiencias en actividades generales del sistema de informacin automatizado

Desarrollo y mantenimiento de programa


Pgina 79

AUDITORIA INFORMTICA
Soporte tecnolgico de los software de sistemas Operaciones Seguridad fsica Control sobre el acceso a programas.

La naturaleza de los riesgos y las caractersticas del Control Interno Falta de rastro de las transacciones. Falta de segregacin de funciones.

5.4.- TCNICAS Y HERRAMIENTAS AUDITORIA RELACIONADAS CON SEGURIDAD TELEINFORMTICA


Teleinformtica La ciencia que estudia el conjunto de tcnicas que es necesario usar para poder transmitir datos dentro de un sistema informtico o entre puntos de l situados en lugares remotos o usando redes de telecomunicaciones

Objetivos Reducir tiempo y esfuerzo. Capturar datos en su propia fuente. Centralizar el control. Aumentar la velocidad de entrega de la informacin. Reducir costos de operacin y de captura de datos. Aumentar la capacidad de las organizaciones, a un costo incremental razonable. Aumentar la calidad y la cantidad de la informacin. Mejorar el sistema administrativo

Las tcnicas de comunicacin se estructuran en:

Pgina 80

AUDITORIA INFORMTICA

Niveles: fsico Enlace de datos Red Transporte Sesin Presentacin Aplicacin. Redes de rea local Red Internet y su protocolo TCP/IP Programas de Comunicacin y Gestin de Red. Utilizando Tcnicas teleinformticas: Cuando se desea reducir un elevado volumen de correo, de llamadas telefnicas o de servicios de mensajera. En los casos en que se efecten muy a menudo operaciones repetitivas Cuando sea necesario aumentar la velocidad de envo de la informacin En la ejecucin de operaciones descentralizadas. Para mejorar el control, descentralizando la captura de datos y centralizando su procesamiento. En los casos en que es necesario disminuir riesgos en el procesamiento de la informacin Cuando sea menester mejorar la actividad de planificacin en la organizacin.

SINTOMAS DE RIESGO TELEINFORMATICA Los controles directivos El desarrollo de las polticas. Amenazas fsicas externas.
Pgina 81

AUDITORIA INFORMTICA
Control de accesos adecuado Proteccin de datos Comunicaciones y redes El entorno de produccin. El desarrollo de aplicaciones en un entorno seguro La continuidad de las operaciones

EVALUACIN DE RIESGOS

Se trata de identificar riesgos, cuantificar su probabilidad e impacto y analizar medidas que los eliminen o que disminuyan la probabilidad de que ocurran los hechos o mitiguen el impacto. UNIDAD.- 6 INFORME DE LA AUDITORIA INFORMTICA. 6.1 GENERALIDADES DE LA SEGURIDAD DEL REA FSICA.

Cuando se habla de seguridad informtica existe una clara tendencia a hacer el siguiente raznamiento de forma ms o menos inconsciente: 1. Queremos proteger bienes de carcter informtico (por ejemplo, datos confidenciales) 2. Las amenazas que dichos bienes pueden sufrir proceden del medio informtico (por ejemplo, copia no autorizada de esos datos) 3. Por tanto, los mecanismos de proteccin tambin deben ser informticos (por ejemplo, restricciones de acceso a dichos datos).

Pgina 82

AUDITORIA INFORMTICA
As, asociamos el concepto de seguridad exclusivamente a mecanismos relativamente sofisticados de control informtico, como pueden ser entrada restringida al sistema, denegacin de privilegios de lectura y modificacin de ficheros, cifrado de las comunicaciones, o proteccin de las redes mediante cortafuegos.

Las medidas de seguridad fsica servirn para proteger nuestros equipos e informacin frente a usos inadecuados, fallos de instalacin elctrica, accidentes, robos, atentados, desastres naturales, y cualesquiera otros agentes que atenten directamente contra su integridad fsica.

Las amenazas a la seguridad fsica

Son muchos los agentes que pueden acabar con la buena salud de nuestro hardware (una sobrecarga de tensin, un pequeo accidente) o incluso hacerlo desaparecer (un robo, un incendio).

Agentes naturales, acciones del entorno y desastres

Los ordenadores son extraordinariamente vulnerables a agentes naturales que ordinariamente se consideran de importancia menor o nula para la seguridad de un inmueble tpico, como pueden ser el humo, el polvo, la sequedad, la humedad, las temperaturas extremas, las tormentas elctricas, las

vibraciones o incluso los insectos, pues deterioran progresiva pero eficazmente algunos componentes del hardware, como conectores, soldaduras, cabezas lectoras, circuitos impresos e integrados o tubos catdicos.

Adems existe otra serie de agentes que pueden tener origen humano y que tambin tienen la capacidad deteriorar seriamente o destruir la funcionalidad de

Pgina 83

AUDITORIA INFORMTICA
nuestros equipos, como las sobrecargas de tensin, los campos

electromagnticos fuertes o los movimientos bruscos. Por ltimo, los desastres como el fuego, las inundaciones, las explosiones o los terremotos tienen para los ordenadores las mismas consecuencias devastadoras que para la generalidad de los equipos elctricos y electrnicos. En el caso del agua, a los daos que pueden sufrir los equipos hay que aadir el riesgo de electrocucin para el personal que los manipula.

El plan de seguridad fsica Hay dos cuestiones esenciales que se han de tener en cuenta al concebir la seguridad fsica de una instalacin. La primera es que debe pensarse para cada lugar concreto, adecundose a sus caractersticas fsicas y a los agentes circundantes que pueden suponer una amenaza para los sistemas. La segunda es que existe una cantidad muy grande de variables a considerar, por el gran nmero de posibles amenazas. La especificidad y multiplicidad de la seguridad fsica determinan una mayor dificultad en la resolucin de los problemas que en su mbito se plantean.

Pgina 84

AUDITORIA INFORMTICA
Por ello es absolutamente necesario que el primer paso a dar para asegurar fsicamente nuestras instalaciones sea formular un plan escrito de las necesidades de seguridad fsica y de las medidas destinadas a cubrirlas en el futuro. Este plan debe incluir los siguientes elementos: Descripcin ordenadores, perifricos, cables, conexiones, soportes de datos, etc. Descripcin del rea fsica en el que estn localizados esos dispositivos. Descripcin del permetro de seguridad y de sus posibles agujeros. Descripcin de las amenazas contra las que nos queremos proteger, incluyendo una estimacin de su probabilidad. Descripcin de nuestras defensas. Enumeracin de los medios para mejorarlas. Estimacin del coste de las mejoras. de los dispositivos fsicos a proteger, incluyendo

6.2 CARACTERSTICAS DEL INFORME El Informe se inicia con la fecha de comienzo de la auditora y la fecha de redaccin del mismo. Se incluyen asimismo los nombres del equipo auditor y los nombres de todas las personas entrevistadas, con indicacin de la Jefatura, responsabilidad o puesto de trabajo que ostente. Tras estos prolegmenos, se expondrn, a saber: 1. Definicin de objetivos y alcance de la auditora( ya estudiados). 2. Enumeracin de temas considerados. Antes de tratarlos en profundidad , se enumerarn lo ms exhaustivamente posible todos los temas objeto de la auditora.
Pgina 85

AUDITORIA INFORMTICA
3. Cuerpo expositivo Para cada tema objeto de auditora, se seguir el siguiente orden, a saber: a) Situacin actual. Cuando se trate de una Revisin peridica, en la que se analiza no solamente una situacin sino adems su evolucin en el tiempo, se expondr la situacin prevista y la situacin real. b) Tendencias. Se tratarn de hallar parmetros de correlacin que permitan establecer tendencias de situacin futura. No siempre es posible tal pretensin. c) Puntos dbiles y amenazas. Debern explicarse por s mismos, sin referencias a otros lugrares del informe. d) Recomendaciones y Planes de Accin. Constituyen, junto con la exposicin de puntos dbiles, el verdadero objeto de la auditora informtica. e) Redaccin posterior de la Carta de Introduccin o Presentacin. Modelo conceptual de exposicin del informe final El modelo de Informe final de auditora informtica por el que hemos optado es utilizado por Compaas y auditores independientes prestigiosos. Se basa en los dos principios fundamentales siguientes: A) El Informe debe incluir solamente hechos importantes. La inclusin de hechos poco relevantes o accesorios desva la atencin del que lo lee y desvirta el informe en su conjunto. B) El Informe debe consolidar los hechos que se describen en el mismo. En auditora, el trmino de "hechos consolidados" adquiere un especial significado de verificacin objetiva y de estar documentalmente probados y soportados.
Pgina 86

AUDITORIA INFORMTICA
La consolidacin de los hechos debe satisfacer, al menos, los siguientes criterios bsicos: 1. El hecho que se incluya debe poder ser sometido a cambio. 2. Las ventajas del cambio deben superar los incovenientes derivados de mantener la situcin. 3. No deben existir alternativas viables que superen, por ms beneficiosos y por mejor ratio prestacin/ costo, al cambio propuesto. 4. La recomendacin del auditor sobre el hecho en cuestin ha de mantener o mejorar las Normas y estndares existentes en la instalacin. Cumplidos los dos principios y los criterios de consolidacin expuestos, el hecho pasa al Informe. La aparicin de un hecho en un informe de auditora implica necesariamente la existencia de una debilidad qu ha de ser corregida. Veamos el modelo de flujo del hecho o debilidad, y el orden, desde su aparicin hasta la recomendacin del auditor para eliminarla: 1.Hecho encontrado

Ha de ser relevante para el auditor y para el cliente. Ha de ser exacto, y adems convincente. No deben existir hechos repetidos. Deben procurarse evitar incluso las referencias y alusiones a otros hechos.

2. Consecuencias del hecho

Las consecuencias deben redactarse de modo que sean directamente deducibles del hecho.

3. Repercusin del hecho

Pgina 87

AUDITORIA INFORMTICA

Se redactar, si existe, las influencias directas que el hecho pueda tener sobre otros aspectos informticos u otros mbitos de la empresa auditada.

4. Conclusin del hecho

No deben redactarse conclusiones ms que en los casos en la exposicin haya sido muy extensa y compleja.

5. Recomendacin del auditor informtico


Siempre se explicitar la palabra "Recomendacin", y ninguna otra. Deber entenderse por s sola, por su simple lectura. Deber estar suficientemente soportada en el propio texto. Deber ser concreta y exacta en el tiempo, para que pueda ser seguida y verificada su implementacin.

La Recomendacin se redactar de forma que vaya dirigida expresamente a la persona o personas que puedan implementarla.

Debern evitarse las Recomendaciones demasiado generales. No debern redactarse expresiones como "... se den las rdenes oportunas para que... ".Se deber decir: "... se elabore un programa para que en 60 das...".

7.CARTA DE INTRODUCCION O PRESENTACION DEL INFORME FINAL La Carta de Introduccin tiene especial importancia porque en un mximo de 3 4 folios ha de resumirse la auditora realizada. Es de naturaleza sumamente restrictiva: Se destina exclusivamente al responsable mximo de la empresa, o a la persona concreta que encarg o contrat la misma, o a la persona en quin ella hubiese delegado expresamente.

Pgina 88

AUDITORIA INFORMTICA
As como pueden existir tantas copias del Informe Final como solicite el cliente, siempre que ste especifique los nombres de los destinatarios, la Auditora no har copias de la citada Carta de Introduccin. Se entiende que la Carta de Presentacin o Carta de Introduccin del Informe debe sintetizar al mximo el contenido de aqul. El mximo responsable del cliente debe poder formarse una idea aproximada dela situacin con la lectura de esta sucinta Carta. La misma, poseer los siguientes atributos: - Tendr una longitud mxima de 4 folios, aunque la auditora tenga centenares de ellos. - Incluir fecha, naturaleza, objetivos y alcance. - Cuantificar la importancia de las reas analizadas. - Proporcionar una conclusin general, concretando las reas de gran debilidad. - Presentar las debilidades en orden de importancia y gravedad, de mayor a menor. (Obsrvese cmo el orden del Informe y de la Carta no tienen por qu coincidir). - En la Carta de Introduccin no se escribirn nunca Recomendaciones. (Las Recomendaciones se expresan siempre en los Informes). 7.1. Pautas de Lenguaje y redaccin del informe Ttulos: Han de ser expresivos, pero breves. Prrafos: En cada prrafo debe tratarse un solo asunto. Cada prrafo debe tener 8 10 lneas como mximo. Cuando exceda de esta cantidad, se dividir en dos.

Pgina 89

AUDITORIA INFORMTICA
Frases: En cada frase debe existir una sola idea. La idea suele ser expresada por el verbo. Por ello, cada frase contendr un verbo, dos como mximo. La frase no debe superar las tres lneas. No deben cambiarse verbos por nombres. No se debe escribir "... hemos realizado un examen..."; hay que escribir "... hemos examinado...". Otros: - Utilizar lenguaje sobrio normal, no excesivamente culto. Se permiten anglicismos y palabras tcnicas muy conocidas. - Utilizar la voz activa o reflexiva, pero nunca la pasiva. - Omitir palabras innecesarias. No deben usarse expresiones como "Con referencia a", "Consecuentemente con", "en nuestra opinin", "creemos que", "consideramos que", etc. - Evitar redundancias de lenguaje. No podr redactarse, por ejemplo, "hemos revisado y analizado". -No expresarse por medio de adverbios y adjetivos simultneamente. Ejemplo: No debe redactarse "es estrictamente necesario que ...". 6.3 ESTRUCTURA DEL INFORME

INFORME DE AUDITORA El informe es el documento escrito mediante el cual la comisin de auditora expone el resultado final de su trabajo, a travs de juicios fundamentados en las evidencias obtenidas durante la fase de ejecucin, con la finalidad de brindar suficiente informacin a los funcionarios de la entidad auditada y estamentos pertinentes, sobre las deficiencias o desviaciones ms significativas, e incluir las
Pgina 90

AUDITORIA INFORMTICA
recomendaciones que permitan promover mejoras en la conduccin de las actividades operaciones del rea o reas examinadas.

NORMAS RELACIONADAS AL INFORME DE AUDITORA NAGU 4.20 OPORTUNIDAD DEL INFORME La comisin auditora deber adecuarse a los plazos estipulados en el programa correspondiente, a fin que el informe pueda emitirse en el tiempo previsto, permitiendo que la informacin en l revelada sea utilizada oportunamente por el Titular de la entidad y/o autoridades de los niveles apropiados del Estado. El informe debe ser oportuno a fin de que sea til por la entidad, siendo necesario el estricto cumplimiento de las fechas programadas para las distintas fases de la accin de control.

El Informe ser denominado teniendo en consideracin, la naturaleza o tipo de accin de control efectuado, indicando los datos correspondientes a su numeracin e incluyendo un ttulo, el cual deber ser breve, especfico y redactado en tono constructivo.

ESTRUCTURA DEL INFORME I. INTRODUCCIN. 1. Origen del examen. 2. Naturaleza y objetivos del examen. 3. Alcance del examen.
Pgina 91

AUDITORIA INFORMTICA
4. Antecedentes y base legal de la entidad. 5. Comunicacin de hallazgos. 6. Memorndum de Control Interno. 7. Otros aspectos de importancia. II. III. IV. V. OBSERVACIONES. CONCLUSIONES. RECOMENDACIONES. ANEXOS.

FIRMA

INTRODUCCIN.

Comprender informacin general concerniente a la accin de control y a la entidad examinada. 1. Origen del Examen Referido a los antecedentes o razones que motivaron la accin de control, es el caso de: planes anuales de control, denuncias, solicitudes (del titular de la entidad, de la CGR, del Congreso, etc.), entre otros; debiendo hacerse mencin al documento y fecha de acreditacin.

2.

Naturaleza y Objetivos del examen En este rubro se sealar la naturaleza o tipo de la accin de control, as

como los objetivos previstos; exponindose ellos segn su grado de significancia o importancia para la entidad, incluyendo precisiones que correspondan en cuanto al nivel de cumplimiento alcanzado en cada caso.
Pgina 92

AUDITORIA INFORMTICA

3.

Alcance del examen

Se indicar claramente la cobertura y profundidad del trabajo realizado para el logro de los objetivos de la accin de control, precisando el periodo y reas de la entidad examinadas, mbito geogrfico donde se realiz el examen, dejndose constancia que se llev de acuerdo a las NAGU; para el caso de auditora financiera se mencionar que se llev a cabo de acuerdo a las NAGAs, Normas Internacionales de Auditora y dems disposiciones aplicables al efecto. Asimismo, de considerarlo pertinente la comisin auditora revelar las limitaciones de informacin u otras relativas al alcance del examen que se hubieran presentado y afectado el proceso de la accin de control, as como las modificaciones efectuadas al enfoque o curso de la misma como consecuencia de dichas limitaciones.

4.

Antecedentes y base legal de la entidad

Se har referencia de manera breve y concisa, a los aspectos relevantes que guarden vinculacin directa con la accin de control realizada, sobre la misin, naturaleza legal, ubicacin orgnica y funciones realizadas de la entidad y/o reas examinadas, as como las principales normas legales que le(s) sean de aplicacin, con el objeto de situar y mostrar apropiadamente el mbito tcnico y jurdico que es materia de control; evitndose, insertar simples o tediosas transcripciones literales de textos y/o relaciones de actividades o disposiciones normativas.

5.

Comunicacin de hallazgos Se deber indicar haberse dado cumplimiento a la comunicacin oportuna

de los hallazgos efectuada al personal que labora o haya laborado en la entidad comprendido en ellos. Asimismo, se indicar la inclusin de un Anexo en el Informe con la relacin del personal al servicio de la entidad examinada,
Pgina 93

AUDITORIA INFORMTICA
finalmente considerado en las observaciones contenidas en el mismo,

consignndose en dicha nmina los nombres y apellidos, documento de identidad, cargo(s) desempeado(s), periodo(s) de gestin, condicin laboral y domicilio correspondientes, con indicacin de aquellas en que estuvieren incursos en cada caso. 6. Memorndum de Control Interno

Se indicar que durante la accin de control se ha emitido el Memorndum de Control Interno, en el cual se inform al titular respecto a la efectividad de los controles internos implantados en la entidad. Dicho documento as como el reporte de las acciones correctivas que en virtud del mismo se hayan adoptado, se deber adjuntar como Anexo del Informe. . Otros aspectos de importancia

Se revelar aquella informacin que la comisin auditora basada en su opinin profesional competente, considere de importancia o significacin, para fines del Informe, dar a conocer hechos, acciones o circunstancias que por su naturaleza e implicancias, tengan relacin con la situacin evidenciada en la entidad o los objetivos de la accin de control y, cuya revelacin permita mostrar la objetividad e imparcialidad del trabajo desarrollado por la comisin, tales como: a) El reconocimiento de las dificultades o limitaciones, de carcter

excepcional, en las que se desenvolvi la gestin realizada por los responsables de la entidad o rea examinada. b) El reconocimiento de logros significativos alcanzados durante la gestin

examinada. c) La adopcin de correctivos por la propia administracin, durante la

ejecucin de la accin de control, que hayan permitido superar hechos observables. d) Informar de aquellos asuntos importantes que requieran un trabajo

adicional, siempre que no se encuentren directamente comprendidos en los objetivos de la accin de control.
Pgina 94

AUDITORIA INFORMTICA
e) Eventos posteriores a la ejecucin del trabajo de campo que hayan sido de

conocimiento de la comisin auditora y que afecten o modifiquen el funcionamiento de la entidad o de las reas examinadas. Si algunos de los aspectos considerados en este punto por la comisin auditora demandara una exposicin o desarrollo extenso, ser incluido como anexo del Informe. Dichos aspectos, podrn lugar a la formulacin de conclusiones y recomendaciones, si hubiera mrito para ello.

II. III.

OBSERVACIONES La Comisin Auditora desarrollar las observaciones que, como

consecuencia del trabajo de campo y la aplicacin de procedimientos, hayan sido determinadas como tales, una vez concluido el proceso de evaluacin y contrastacin de los hallazgos comunicados con los comentarios y/o aclaraciones formulados por el personal comprendido en los mismos, as como la documentacin y evidencia sustentatoria respectiva. IV. Las observaciones se debern referir a hechos o situaciones de carcter significativo y de inters para la entidad examinada, cuya naturaleza deficiente permita oportunidades de mejora y/o correccin, incluyendo informacin suficiente y competente relacionada con los resultados de la evaluacin efectuada a la gestin de la entidad examinada. V. Se presentarn de forma ordenada, lgica y numerada correlativamente, evitando el uso de calificativos innecesarios y describiendo apropiadamente sus elementos o atributos caractersticos. Se debe considerar aspectos esenciales: Sumilla, Elementos de la observacin, comentarios y/o aclaraciones y su evaluacin.

Sumilla Es el ttulo o encabezamiento que identifica el asunto materia de observacin.


Pgina 95

AUDITORIA INFORMTICA
2. Elementos de la observacin Condicin: Hecho o situacin deficiente detectada. Criterio: Norma, disposicin o parmetro de medicin aplicable al hecho observado. Efecto: Consecuencia real o potencial, cuantitativa o cualitativa,

ocasionada por el hecho o situacin observada, indispensable para establecer su importancia y recomendar a la entidad que adopte las acciones correctivas requeridas. Causa: Motivo que dio lugar el hecho o situacin observada, cuya identificacin requiere de la habilidad y juicio profesional de la comisin auditora y es necesaria para la formulacin de una recomendacin constructiva que prevenga la recurrencia de la condicin. 3. Comentarios y/o aclaraciones del personal comprendido en las

observaciones Son las respuestas brindadas a la comunicacin de los hallazgos respectivos, por el personal comprendido en la observacin, las cuales deben ser expuestas brevemente, indicndose si se acompa documentacin sustentatoria. De no haber respuesta a la comunicacin de hallazgos o de ser extempornea, se referenciar dicha circunstancia. 4. Evaluacin de los comentarios y/o aclaraciones Es el resultado del anlisis realizado por la comisin auditora sobre los comentarios y/o aclaraciones y documentacin presentada por el personal comprendido en la observacin, debiendo sustentarse los argumentos invocados y consignarse la opinin resultante de dicha evaluacin. Dicha opinin incluir al trmino del desarrollo de cada observacin, la determinacin de responsabilidades administrativas a que hubiera lugar, de haber mrito para ello. En caso de considerarse la existencia de indicios razonables de la comisin de delito o de perjuicio econmico, se dejar constancia expresa que tal aspecto es tratado en el Informe Especial correspondiente.
Pgina 96

AUDITORIA INFORMTICA

III.

CONCLUSIONES Se indicarn los juicios de carcter profesional, basados en las

observaciones establecidas, que se formulan como consecuencia del examen realizado a la entidad auditada. Al final de cada conclusin se identificar el nmero de la(s) observacione(s) correspondiente(s) a cuyos hechos se refiere. La comisin auditora, en casos debidamente justificados, podr formular conclusiones sobre aspectos distintos a las observaciones, verificados en el curso del trabajo, siempre que stos hayan sido expuestos en el Informe.

IV.

RECOMENDACIONES

Constituyen medidas especficas y posibles que, con el propsito de mostrar los beneficios que reportar la accin de control, se sugieren a la administracin de la entidad para promover la superacin de las causas y las deficiencias evidenciadas durante el examen. Estarn dirigidas al Titular o en su caso a los funcionarios que tengan competencia para disponer su aplicacin. Las recomendaciones se formularn con orientacin constructiva para propiciar el mejoramiento de la gestin de la entidad y el desempeo de los funcionarios y servidores pblicos a su servicio, con nfasis en contribuir al logro de los objetivos institucionales dentro de parmetros de economa, eficiencia y eficacia; aplicando criterios de oportunidad de acuerdo a la naturaleza de las observaciones y de costo proporcional a los beneficios esperados.
Pgina 97

AUDITORIA INFORMTICA
Para efecto de su presentacin, las recomendaciones se realizarn siguiendo el orden jerrquico de los funcionarios responsables a quienes va dirigida, referencindolas en su caso a las conclusiones, o aspectos distintos a stas, que las han originado.

Tambin se incluir como recomendacin, cuando existiera mrito de acuerdo a los hechos revelados en las observaciones, el procesamiento de las

responsabilidades administrativas que se hubiesen determinado en el Informe, conforme a lo previsto en el rgimen laboral pertinente.

V.

ANEXOS

A fin de lograr el mximo de concisin y claridad en el Informe, slo se incluir como Anexos, adems de los expresamente considerados en la presente norma, aquella documentacin indispensable que contenga importante informacin complementaria o ampliatoria de los datos contenidos en el Informe y que no obre en la entidad examinada.

FIRMA El Informe una vez efectuado el control de calidad correspondiente previo a su aprobacin, deber ser firmado por el Jefe de Comisin, el Supervisor y el nivel gerencial competente de la CGR. En el caso de los rganos de Auditora Interna del SNC, por el Jefe de Comisin, el Supervisor y el Jefe del respectivo rgano. Los Informes emitidos por las SOAs sern suscritos por el socio participante y auditor responsable de la auditora.

De ameritarlo por la naturaleza y contenido del Informe, tambin ser suscrito por el abogado u otro profesional y/o especialista participante en la accin de control.

Pgina 98

AUDITORIA INFORMTICA

Excepciones del alcance a) En la formulacin de los Informes de Auditora Financiera (Informe Corto o Dictamen), se tendrn en cuenta las NAGAs, las NIAs y las disposiciones emitidas por los organismos oficiales competentes sobre la materia. b) Para la formulacin de los informes de auditora de los prstamos y

donaciones de Organismos Internacionales (BID, BIRF, AID, USAID, Banco Mundial, etc.) o similares, sern aplicables las normas y requisitos legales pertinentes para el efecto. Sntesis Gerencial Adicionalmente al Informe de la accin de control, podr emitirse una Sntesis Gerencial del Informe, de contenido necesariamente breve y preciso. La Alta Direccin de la CGR y el Titular del rgano de Auditora Interna, segn el caso y dentro de su mbito de competencia, podrn eximir a la comisin auditora de la emisin de dicha sntesis. Conforme a los alcances de la NAGU 4.50 Cuando en la ejecucin de la accin de control se evidencien indicios razonables de la comisin de delito, la comisin auditora, en cautela de los intereses del Estado, sin perjuicio de la continuidad de la respectiva accin de control, y previa evaluacin de las aclaraciones y comentarios a que se refiere la NAGU 3.60, emitir con la celeridad del caso, un informe especial con el debido sustento tcnico y legal. El objetivo de la presente norma es garantizar y facilitar la oportuna, efectiva y adecuada implementacin de las acciones correctivas legales pertinentes en los casos que, durante el desarrollo de la accin de control, se evidencien indicios

Pgina 99

AUDITORIA INFORMTICA
razonables de comisin de delito as como, excepcionalmente, la existencia de perjuicio econmico no sujeto a recupero administrativo. Su aplicacin permitir a la comisin auditora, a travs de su personal responsable y especializado competente, realizar apropiada y oportunamente su labor a en los casos indicados, basada en su opinin profesional debidamente sustentada en los respectivos fundamentos tcnicos y legales aplicables. En ejercicio de las atribuciones establecidas en la Ley del SNC, la comisin auditora formular el Informe Especial para revelar especficamente, con orden y claridad, los hechos y circunstancias que configuran la presunta responsabilidad penal o civil, las consideraciones jurdicas que los califican y las pruebas sustentatorias correspondientes, recomendando la adopcin de las acciones legales respectivas por la instancia competente.

DENOMINACIN El Informe ser denominado Informe Especial, con indicacin de los datos correspondientes a su numeracin e incluyendo adicionalmente un ttulo, el cual deber ser breve, especfico y estar referido a la materia abordada en el informe. En ningn caso, incluir informacin confidencial o nombres de personas. ESTRUCTURA I. II. III. IV. V. VI. INTRODUCCIN FUNDAMENTOS DE HECHO FUNDAMENTOS DE DERECHO IDENTIFICACIN DE PARTCIPES EN LOS HECHOS PRUEBAS RECOMENDACIN

ANEXOS
Pgina 100

AUDITORIA INFORMTICA

I.

INTRODUCCIN

Origen, motivo y alcance de la accin de control, con indicacin del Oficio de acreditacin o, en su caso, de la Resolucin de Contralora de designacin, entidad, periodo, reas y mbito geogrfico materia de examen, haciendo referencia a las disposiciones que sustentan la emisin del Informe Especial (Ley del SNC y NAGU 4.50), as como su carcter de prueba preconstituida para el inicio de acciones legales. II. FUNDAMENTOS DE HECHO

Breve sumilla y relato ordenado y objetivo de los hechos y circunstancias que constituyen indicios de la comisin de delito o responsabilidad civil, en su caso, con indicacin de los atributos: condicin, criterio, efecto y causa, cuando esta ltima sea determinable, incluyndose las aclaraciones o comentarios que hubieran presentado las personas comprendidas, as como el resultado de la evaluacin de los mismos; salvo los casos de excepcin previstos en la NAGU 3.60, debiendo incidirse en la materialidad y/o importancia relativa, as como el carcter doloso de su comisin, de ser el caso. En los casos de responsabilidad penal, los hechos sern necesariamente revelados en trminos de indicios. Tratndose responsabilidad civil, el perjuicio econmico deber ser cuantificado, sealndose que el mismo no es materialmente posible de recupero por la entidad en la va administrativa. III. FUNDAMENTOS DE DERECHO

Anlisis del tipo de responsabilidad que se determina, sustentando la tipificacin y/o elementos antijurdicos de los hechos materia de la presunta responsabilidad penal y/o responsabilidad civil incurrida, con indicacin de los artculos pertinentes
Pgina 101

AUDITORIA INFORMTICA
del Cdigo Penal y/o civil u otra normativa adicional considerada, segn corresponda, por cada uno de los hechos, con la respectiva exposicin de los fundamentos jurdicos aplicables. De haber sido identificado, se sealar el plazo de prescripcin para el inicio de la accin penal o civil.

IV.

IDENTIFICACIN DE PARTCIPES EN LOS HECHOS

Individualizacin de las personas que prestan o prestaron servicios en la entidad, con participacin y/o competencia funcional en cada uno de los hechos calificados como indicios en los casos de responsabilidad penal, o constitutivos del perjuicio econmico determinado en los casos de responsabilidad civil. Incluye, asimismo, a los terceros identificados que hayan participado en dichos hechos. Se indicar los nombres y apellidos completos, documento de identidad, el cargo o funcin desempeada, el rea y/o dependencia de actuacin, as como el periodo o fechas de sta.

V.

PRUEBAS

Identificacin de las pruebas en forma ordenada y detallada por cada hecho, refiriendo el anexo correspondiente en que se adjuntan, debidamente autenticadas en su caso.
Pgina 102

AUDITORIA INFORMTICA
Adicionalmente, de ser pertinente, se incluir el Informe Tcnico de los profesionales especializados que hubieren participado en apoyo a la Comisin Auditora, el cual deber ser elaborado con observancia de las formalidades exigibles para cada profesin (Ejemplos: tasacin, informe de ingeniera, informe bromatolgico, informe grafotcnico, etc.).

VI.

RECOMENDACIN

Este rubro consigna la recomendacin para que se interponga la accin legal respectiva, segn el tipo de responsabilidad determinada, penal o civil, la cual deber estar dirigida a los funcionarios que, en razn a su cargo o funcin, sern responsables de la correspondiente autorizacin e implementacin para su ejecucin. Si la accin de control es realizada por la CGR o por las SOAs designadas o autorizadas, el Informe Especial recomendar al nivel correspondiente, el inicio de los rganos que ejerzan la representacin legal para la defensa judicial de los intereses del Estado en dicha entidad. Cuando se considere que existan razones justificadas para ello, podr recomendarse alternativamente, se autorice al Procurador Pblico encargado de los asuntos judiciales de la CGR, el inicio de las acciones legales que corresponda. En este ltimo caso, el Informe Especial ser puesto en conocimiento del Titular de la entidad auditada, en la misma fecha de iniciada la accin legal, siempre que el titular no se encuentre comprendido en los indicios de la comisin de delito o en la responsabilidad civil establecida. De encontrarse comprendido el Titular de la entidad el Informe se remitir al Titular del Sector, u
Pgina 103

AUDITORIA INFORMTICA
otro estamento que resulte competente de no pertenecer la entidad a ningn Sector.

VII.

ANEXOS

Contienen las pruebas que sustentan los hechos que son materia del Informe Especial. Necesariamente deben ser precedidos de una relacin que indique su numeracin y asunto a que se refiere cada anexo, guardando un debido ordenamiento a la exposicin de los hechos contenidos en el Informe. En tales casos, se deber incluir como Anexo N 01, la nmina de las personas identificadas como partcipes en los hechos revelados, con indicacin de su cargo, documento de identidad, periodo de desempeo de la funcin y domicilio NIVELES DE APROBACIN DEL INFORME ESPECIAL 1. El Informe Especial formulado por la comisin auditora de la CGR, ser

suscrito por el auditor y/o abogado interviniente(s), el Jefe de Comisin, el Supervisor y los niveles gerenciales competentes. 2. El Informe Especial formulado por el OAI del SNC ser suscrito por el

auditor y/o abogado, Jefe de Comisin y Supervisor interviniente(s), segn sea el caso, as como por el Titular del respectivo rgano. Cuando por razones de capacidad operativa, alguna de dichas funciones haya recado en una misma persona, se referir el cargo de mayor nivel de responsabilidad. 3. Tratndose de SOAs designadas o autorizadas por la CGR, el Informe

Especial que pudiera formularse ser suscrito por el abogado y socio participante.

Pgina 104

AUDITORIA INFORMTICA
SITUACIONES ESPECIALES Cuando se determine la existencia de perjuicio econmico que a juicio de la comisin auditora sea susceptible de ser recuperado en la va administrativa, los hechos relativos a dicho perjuicio econmico seguirn siendo tratados por la comisin auditora y revelados en el correspondiente informe de la accin de control, recomendndose en el mismo las medidas inmediatas para materializar dicho recupero. Cuando se determine que en los hechos que constituyen los indicios razonables de comisin de delito y/o responsabilidad civil, los partcipes son nicamente terceros y no funcionarios o servidores que presten o hayan prestado servicios en la entidad, tales hechos sern revelados en el informe de la accin de control, recomendando en ste las acciones correspondientes. De ser necesario se podr formular ms de un Informe Especial emergente de la misma accin de control, siempre que resulte justificado por la conveniencia procesal de tratar por separado los hechos de connotacin penal y los relativos a responsabilidad civil, as como en razn de la oportunidad de la accin legal respectiva o no ser posible la acumulacin. En todos los casos que se produzca la emisin de un Informe Especial, la Comisin Auditora ser responsable que el correspondiente informe de la accin de control contenga las referencias necesarias sobre dicha emisin y las recomendaciones orientadas a corregir las causas que dieron lugar a los hechos contenidos en el Informe Especial. QUE LOS INFORMES DE AUDITORA CONTENGAN LA REALIDAD DE LOS HECHOS INSTAR A LAS AUTORIDADES, FUNCIONARIOS, SERVIDORES Y USUARIOS UN USO TRANSPARENTE DE LOS RECURSOS.

Pgina 105

AUDITORIA INFORMTICA

6.4 FORMATO DEL INFORME

Que es el informe de auditoria? Es el medio formal para comunicar los objetivos de la auditoria, las normas utilizadas, alance y resultados, conclusiones y recomendaciones de la auditoria. El reporte debe ser objetivo, claro, conciso, consistente constructivo y oportuno Existen esquemas recomendados con los requisitos mnimos aconsejables respecto a estructura y contenido

Pgina 106

AUDITORIA INFORMTICA

Pgina 107

AUDITORIA INFORMTICA

Pgina 108

AUDITORIA INFORMTICA

Pgina 109

AUDITORIA INFORMTICA
Carta de introduccin o presentacin del informe final La carta de introduccin tiene especial importancia porque en ella ha de resumirse la auditora realizada. As como pueden existir tantas copias del informe Final como solicite el cliente, la auditora no har copias de la citada carta de Introduccin. La carta de introduccin poseer los siguientes atributos: Tendr como mximo 4 folios. Incluir fecha, naturaleza, objetivos y alcance. Cuantificar la importancia de las reas analizadas. Proporcionar una conclusin general, concretando las reas de gran debilidad. Presentar las debilidades en orden de importancia y gravedad. En la carta de Introduccin no se escribirn nunca recomendaciones.

Pgina 110

AUDITORIA INFORMTICA
CONCLUSIONES
En el proceso de promover la auditora informtica se necesita de un buen planeamiento, mantenimiento de la ejecucin y estar preparados para cualquier cambio que pueda traer con el pasar del tiempo, el entrenamiento de l personal para nuevos enfrentamientos tambin es un labor de suma prioridad. En la oficina de la Auditoria con los esfuerzos que se ha puesto se han obtenido muy buenos resultados, como meta para el futuro es el de poner mas esfuerzo en el entrenamiento del personal de la auditoria informtica, crear secciones especialmente encargadas de la auditoria informtica, tambin a la vez crear un Sistema de Soporte a la Tecnologa de la Informacin ( Information Technology Support ) y reglamentos para el progreso de la auditoria informtica, todo esto son metas para entrar al ao 2000, elevar y brindar un mejor servicio de calidad poner los esfuerzos que se debe en el trabajo de la Auditoria. Se profundizo sobre cual es la informacin que el auditor requiere para realizar este tipo de trabajo y con que tcnicas y herramientas la organizacin protege su informacin, que controles se realiza al evaluar la seguridad del software de aplicacin, y los generales.

El informe de auditora tiene que estar basado en una metodologa, misma que debe estar soportada por mejores prcticas administrativas y tecnologas.

La informacin y observaciones vertidos en el informe deben contener un sustento y no pueden ser en ningn caso subjetivos.

Pgina 111

AUDITORIA INFORMTICA
BIBLIOGRAFIA ECHENIQUE, Garca Jos Antonio. Auditoria en Informtica. Edit. Mc Graw-Hill. 2001.2 Edicin http:// www.buenastareas.com/ensayo/Informe-Final http://es.scribd.com/doc/19505290/Auditoria-Informatica Auditoria Informtica Un enfoque practico 2 edicin amplia y revisada Mario Gerardo Piattini Velthuis Emilio del ]peso Navarro Auditoria en Informtica Segunda Edicin Pagina 20 Jos Antonio Echenique Garca Universidad Nacional autnoma de Mxico Universidad autnoma Metropolitana Editorial McGraw-Hill Auditoria en sistemas computacionales, Segunda edicin, Editorial Pearson, Pg. 18 a 25. Libro: Auditoria informtica Autor: Jos Antonio Echenique Garca Editorial: Mcmagrafi 2da Edicin http://www.slideboom.com/presentations/299541/PRESENTACIONAUDITORIA-INFORMATICA http://muziek-film-kunst.blogspot.com/2010/12/22-evaluacionsistemas-de-acuerdo-al.html http://muziek-film-kunst.blogspot.com/2010/12/23-investigacionpreliminar-auditoria.html Enciclopedia prctica de la pequea y mediana empresa. (S.F.)
Pgina 112